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— (57) Abstract: The invention relates to a data processing device conq>rising a local file receiving system which is used to receive 
local files and which is associated with a local computer unit and used for the purpose of retrieval and storage, in addition to two-way 
uansmission of vohime files by the computer unit, and a user identification unit which is associated with the local computer unit and 
""^^ which is configured in such a way that it can react to positive ID only in order to enable access by said computer unit to volume files 
which are authorized for a user. The volume file is stored in the local file receiving system in an encrypted form which cannot be 
used for a user. A key administration system which is associated with a volume file transmission path between the local conqniter 
unit and local file receiving system is configured as part of and as a fimctiomdity of the local computer unit fcH- the generation and 
^ allocation of a user-specific and volume-file-specific key data file for each volume file. The key management system is connected to 
^ a key data base which is part of the system for receiving local files and logically separated therefrom. The key management system 
links a key file which is stored in the key data base to a volume file stored in the local file receiving system in order to generate an 
^ electronic document so ihat a volume file can l)e produced for the local file receiving system. The key data base is provided locally 
^ in the data processing unit but is structurally or physically separated firom the driver unit or mass storage unit whidi is associated 
with the local file receiving system. 

^ (57) Zusammenfassung: Die Erfindung betrifft eine DatenverarbeitungsvoiTichtung mit einem einer lokalen Recfanereinheit zu- 
geonfaieten lokalen Dateiablagesystem zum Abrufen und zur Spekherung sowie zur bidirektionalen Dateniibertragung von Vbhi- 

Omendateien mittels der Rechnereinheit und einer der lokaloi Redmereinheit zugeordneten Nutzer-Identifikationseinheit, die zum 
ErmogUcben eines Zugriffs durch die Rechnereinheit auf 
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— Vor Ablauf der fur Anderungen der Anspruche geltenden Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Frist; Veroffentlichung wird mederholt, falls Anderungen Abkurzungen wird auf die Erkldrungen f 'Guidance Notes on 
eintreffen. Codes and A bbreviations ") am Ar^ang jeder regularen A usgabe 

der PCT-Gazette verwiesen. 



fiir einen Nutzer autorisierte Volumeodateien nur als Reaktton auf dessen positive Identifikation ausgebildet isU wobei die Volumen- 
datei Id dem lokalen Dateiablagesystem in einer fur einen Nutzer nicbt brauchbaren, verschliisselten Form gespeicbert \sU wobei eine 
einem Dateniibertragungspfad von Volumendateien zwischen der lokalen Redbnereinfaeit und dem lokakn Dateiablagesystem zuge- 
oidnete SchlQsselverwalningseinheit als Teil und Funktionalitat der lokalen Reduieieinheit, die zum Erzeugea und Zuweisen einer 
nutzerspezifischen und volumendateispezifischen ScUusseldalei fiir jede Volumendatei ausgebildet ist* die ScblusselverwaltungseiiH 
heit mit einer als Teil des lokalen Daleiablagesystems, von diesem logiscb getrennt vorgesefaenen Scbliisseldatenbank verbunden ist 
und zum Verknuirfen einer in der Scbliisseldatenbank gespeicbeiten Schlusseldatei mit einer im lokalen Datdablagesystem gespe- 
icberten Volumendatei zum Erzeugen eines fur einen Nutzer brauchbaren eleketroniscben Dokuineiits sowie zum Verkniipfen einer 
erzeugten Scbliisseldatd mit einem zu speicbemden elektroniscben Dokument zum Erzeugen einer Volumendatei fur das lokale 
Dateiablagesystem ausgebildet ist, wobei die Scbliisseldatenbank lokal in der Datenverarbeitungsvonicbtung» jedocb strukturell 
Oder physiscti getrennt von einer dem lokalen Dateiablagesystem zugeordneten Laufweiks- Oder Massenspeicbereiidieit vorgeseben 
isL 
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DatenverarbeitunQsvorrichtunq 

S Die vorliegende Erfindung belrifft eine Datenverarbeitungsvorrichtung nach dem Oberbegriff 
des Patentanspruchs 1 . 

Vor dem Hinlergrund zunehmend strengerer Erfordernisse an die Datensicherheit, den Schutz 
vor unerlaubtem Datenzugriff durch Dritte sowie des unautorisierten Kopierens ganzer Daten- 
ID und Dateistrukturen bzw. des unautorisierten Zugriffs und Einblicks auf/in diese stellt sich das 
generelle Problem des Zugriffsschutzes auf Nutzerdateien nicht nur fur GroBrechnersysteme 
Oder fur unternehmensweite Netzwerke; oftmals sind auch bereits Einzelplatzsysteme Oder 
kleine, lokale Rechnerverbunde bedroht. 

15 Zugangsregelung und Zugriffsschutz hat daher Eingang in praktisch alle Rechnerbetriebssy- 
steme und Anwenderprogramme gefunden, von einem passwortgeschutzten Rechnerstart 
(der namlich uberhaupt erst das Hochfahren eines Betriebssystems ermoglicht. wenn ein kor- 
rektes Passwort eingegeben wurde), bis hin zu individueller Zugriffssicherung etwa von mit ei- 
nem Anwendungsprogramm, z. B. einer Textverarbeitung, erstellten elektronischen Doku- 

50 menten (als "elektronisches Dokument" sollen im folgenden beliebige. fur einen Nutzer 
brauchbare. d. h. sinnvoll mit dem beabsichtigten Inhalt bzw. Kommunikationszweck belegte, 
les-. erkenn- und ausgebbare Nutzdateien, eingeschlossen ausfuhrbare Programme, ver- 
standen werden. im praktischen Gebrauch sind dies beispielsweise Texte, Bilder. Ton- 
und/oder Biidfoigen. 3-D-Animationen, interaktive Eingabemasken usw.). 

55 

Gerade Im Anwendungsfeld eines lokalen Arbeitsplatzes oder Rechnerverbundes bieten aber 
passwortgeschutzte Zugriffs- Oder Startroutinen ubiichenveise einen nur ungenugenden 
Schutz: Seibst wenn, etwa durch Passwortschutz eines Arbeitsplatzcomputers als uber das 
betreffende Betriebssystem angebotenem Zugriffsschutz der Rechner, durch einen unauto- 
3D risierten Benutzer nicht geslartet werden kann, so besteht die Gefahr. dass entweder uber 
Umwege auf den diesem Arbeitsplatzrechner zugeordneten Massenspeicher zugegriffen wird. 
Oder aber einfach, etwa im Wege einer Backup-Routine, der komplette Inhalt eines solchen 
Massenspeichers, etwa einer Festplatte. ausgelesen und dann zu einem spateren Zeitpunkt 
mit einem anderen System widerrechtlich analysiert und gelesen wird. 

35 

Auch ein individueller Dokumenten-Passwortschutz verspricht gegen derartige. unautorisierte 
Backups einen nur ungenugenden Schutz. denn selbsl auf einer Festplatte passwort-ver- 
schiusselte Nutzdateien konnen oftmals mit geringem Aufwand. unter Ausnutzung der inha- 
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renten, inneren Redundanz von Btldem oder Sprache, in ihre ursprungliche, offene Fassung 
zuruckversetzt werden. Ein derartiger, Dokument-individueller Passwortschutz, der Qblicher- 
weise auch als Benutzer-Level-Kryplografie verstanden wird, ist, bedingt durch seine strikte 
Dokumentabhangigkeit, empfindlich gegen Bedienfehler und umstSndlich: Es besteht die Ge- 
fahr. dass ein iBenutzer das Verschlussein einzelner Dateien vergilJt oder aber eine ursprung- 
lich unverschlusselte Textdatei nach dem verschlusselten Abspeichern nicht loscht. Auch ist 
die Benutzung wenig komfortabel, da ubiicherweise wahrend einer Benutzersitzung (Session) 
ein zugehoriges Passwort mehrfach einzugeben ist. Insbesondere im Zusammenhang mit 
File-Servern in einer vernetzten Umgebung ist es zudem praktisch unvermeidbar. dass zu- 
mindest zu gewissen Zeitpunkten sich eine klare. unverschlusselte Nutzerdatei auf einem 
Speichermedium befindet und so etwa uber ein Netzwerk offener Zugriff moglich ist. 

Als weiterer Nachteil einer solchen, aus dem Stand der Technik bekannten Losung, wie sie 
etwa im Zusammenhang mit gangigen Textverarbeitungssystemen bekannt ist. besteht darin, 
daR ein jeweiliger Benutzer sich ein zugehoriges Passwort merken muss, die Gefahr durch 
Dokumentverlust bei Verlieren des Passwortes also groB ist, und daruber hinaus eine Ent- 
schlusselung jeweils nur programm- bzw. anwendungsspezifisch ist. also insbesondere ein 
Zugriff auf eine dergestalt verschlusselte Datei mit anderen Anwendungsprogrammen und 
deren Weiterverwendung stark erschwert, wenn nicht gar unm5glich ist. 

Wie zudem bereits erwahnt, besteht der prinzipbedingte Nachteil einer klassischen Verschlus- 
selung mit Hilfe von bekannten kryptografischen Verfahren (symmetrische oder asymmetri- 
sche Verschlusselung wie DES, IDEA. RSA. El-Gamal) in der Abhangigkeit von der Geheim- 
haltung eines relativ kurzen Schlussels, ubiicherweise 56 bzw. 128 Bit. Wenn ein solcher 
Schlussel aufgrund der erwahnten inneren Redunanz der Sprache oder des Standards, in der 
das betreffende elektronische Dokument verfasst worden ist. aus einem begrenzten Daten- 
kontext berechnet werden kann. dann ist somit der gesamte Inhalt, bei dem dieser Schlussel 
venvendet worden ist. lesbar. 

Ein weitere Problem bilden sog. offene Systeme. die durch Multiuser-Betriebssysteme ver- 
waltet werden und Zugriffe auf Netzwerk-Massenspeicher ermog lichen. Ein solcher Zugriff 
wird ubiicherweise uber das Betriebssystem nur unzureichend venvaltet, und insbesondere 
kann daruber hinaus im Normalfall nicht nachvollzogen werden, wer. wann und von wo Oaten 
geschrieben oder gelesen hat. Dagegen ist offensichtlich, dass insbesondere in einem ver- 
traulichen Kontext derarlige Informationen. etwa im Fall spaterer Beweisfuhrungen. zum ver- 
t>esserten Quellenschulz notwendig sein konnen. 
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Aufgabe der vorliegenden Erfindung ist es daher, eine gattungsgemaiie Datenverarbeitungs- 
vorrichtung im Hinblick auf die Datensicherheit von lokal gespeicherten Nutz- bzw. Volumen- 
daten zu verbessern, und insbesondere die Gefahr durch unautorisierten Datenzugriff durch 
vollstandiges Kopieren eines Massenspeicherinhalls. etwa durch Backup, zu vermindern. 
5 Insbesondere sind zudem auch die Sicherheitsnachteile bekannter Kryptografieverfahren ge- 
gen Entschlusselung zu uberwinden und die Verschlusselungssicherheit zu erhohen. 

Die Aufgabe wird dutch die Vorrichtung mit den Merkmalen des Patentanspruchs 1 und 10 
sowie die Verfahren mit den Schritten der Patentanspruche 7 und 8 gelost; bevorzugte Wei- 
ID terbildungen der Erfindung ergeben sich aus den ruckbezogenen, abhangigen Anspruchen.. 

In erfindungsgemali vorteilhafter Weise findet eine Abkehr von dem gerade im Einzelplatz- 
bzw. lokalen Netzwerkbereich ubiichen rollenspezifischen (d.h. auf Benutzer, z.B. Admini- 
strator, bezogenen) Passwortprinzip statt, und ein Schutz der sicherheitsbedurftigen Nut- 
15 zerdateien - im weiteren und im Rahmen der Erfindung auch als Volumendateien bezeichnet - 

- erfolgt durch die erfindungsgemali zusatzlich vorgesehene Schiusselverwaltungseinheit im 
Zusammenwirken mit der SchlOsselspeichereinheit fSchlusseldatei-). 

Genauer gesagt besteht ein wesentliches Merkmal der vorliegenden Erfindung darin, jegliche 
2D (bzw. eine ausgewahlte und/oder vom Betriebssystem bestimmte), zur - zugriffsgeschutzlen - 

- Speicherung sowie zum spateren Wieder-Aufrufen vorgesehene Datei vor ihrer Ablage im 
lokalen Dateiablagesystem. welche besonders bevorzugt ein ubiicher Massenspeicher, etwa 
eine Festplatte. ein optisches Laufwerk usw. sein kann, zu verschlusseln. und zwar mittels 
eines sowohl datei- als auch benutzerspezifischen Schlussels. Damit ist gemeint, dass jede im 

ES Rahmen der vorliegenden Erfindung zu sichernde Volumendatei, bevorzugt die Gesamtheit 
der auf dem Dateiablagesystem zu speichernden Dateien. mit einem individuellen Schlussel 
versehen wird. der getrennt (also nicht in einer dem Dateiablagesystem unmittelbar zu- 
geordneten Weise) gespeichert wird, und eine Volumendatei nur zusammen mit dem zugeho- 
rigen. individualisierten Schlussel offen und benutzbar wird. Auch bedeutet die nutzerspezi- 

3D fische Eigenschaft eines Schlussels. dass fur verschiedene Nutzer der erfindungsgemaden 
Datenverarbeitungsvorrichtung eine jeweilige Zugehorigkeits- und Aulorisierungsprufung 
stattfindet, also ein Nutzer (im Rahmen der Erfindung ist als "Nutzer" insoweit auch eine Be- 
nutzergruppe zu verstehen) kann im Rahmen der vorliegenden Erfindung nur auf die fur ihn 
yorgesehenen bzw. autorisierten Volumendateien zugreifen. und dies wird - abweichend vom 

35 Stand der Technik - insbesondere auch uber die individualisierte Schlusseldatei bzw. 
Schlusseldatensatz einer Datenbank erreicht. 
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In der praktischen Realisiemng der Erfindung muss also vor jeder Arbeitssitzung mit Zugriff 
auf als soiche nicht benutzbare - Volumendatelen eine mindestens einmalige Identifikation 
und Autorisierung eines jeweiligen Nutzers stattfinden, und erst durch Verknupfung mit einer 
getrennt gespeicherten bzw. erzeugten Schlusseldatei kann eine in dem Dateiablagesystem 
S bevorzugt dauerhaft gespeicherte Volumendatei gesichert bzw. in nulzbarer Form verwendet 
werden. 

Nicht nur wird damil das Hauptproblem bestehender, passwortgeschutzter Datenverarbei- 
tungssysteme aus dem Stand der Technik gelost (auch ein vollstandiges Kopieren einer Fest- 

ID platte mit dem Dateiablagesystem ernrioglicht keinen Zugriff auf die benutzbaren Nutzerdaten). 
durch Zwischenschaltung der erfindungsgemaBen SchlQsselverwaltungseinheit In den bidi- 
rektionalen Speicher- und Aufrufpfad zwischen Rechnereinheit und lokalem Dateisystem 
werden diese Sicherungsvorgange fur einen autorisierten Benutzer - nach einmaliger. erfolg- 
reicher Identifikation - unsichtbar und unbemerkt, bieten also beisplelsweise den Vorteil, im 

IS Verlauf einer Arbeitssitzung am Datenverarbeitungssystem (session) nicht bei jedem neuen 
Offnen einer Textdatei ein zugehoriges Passwort eingeben zu mussen. 

Der weitere Vorteil einer erflndungsgemaB benutzer- und dateispezifischen Verschlusselung 
besteht zudem darin, dass im Fall des Bekanntwerdens eines individueden Schlussels der 
2D notwendige Aufwand fur eine Schlusselanderung oder Zugriffsanderung relativ gering bleibt. 

Weiterbildungsgemali ist'es im Rahmen der Erfindung vorgesehen, zum Zugriff auf den 
Schlussel eine weitere, in Form einer verschlusselten Zwischendatei (Zwischenschicht) rea- 
lisierte, nicht auf einer gemeinsamen Back-Up-Einheit gespeicherte Sicherungsebene vorzu- 
55 sehen, die insbesondere die Sicherheit des Zugriffs auf den Schlussel welter erhoht. Durch 
eine. soiche, selbst verschlusselte. physisch entfemte Zwischenlage ist damit sichergestellt, 
dass die eigentllche Schlusseldatei nicht direkt zuganglich ist. 

Als Ergebnis der voriiegenden Erfindung ergibt sich zudem, dass prinzipiell das Lesen des 
3D verschlusselten Dateiablagesystems, etwa zum Zweck des Backups, als solches eriaubt und 
allgemein zuganglich ist und insbesondere von einer Autorisierung unabhangig gemacht wird 
(da ja auch das Ergebnis eines solchen Backups vel'schlusselt bieibl). Entsprechend werden 
derartige Sicherungsvorgange. wie der Backup-Prozess, von etwa einem besonderen, 
sicheren Zugriffstatus (tiblicherweise Supervisor oder Systemadminlstrator) unabhangig, da 
35 das eigentliche Leserecht bzw. die Fahigkeit, auf das elektronische Dokument Im Klartext (d.h. 
often und unverschlusselt) zuzugreifen. unabhangig von der Backup-Funktlon und damit von 
einem Supervisor od.dgl. vergeben werden kann. 
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Gemali einer bevorzugten Weiterbildung der Erfindung, fur die auch unabhangiger Schutz 
beansprucht wird, werden zudem semantische, d. h. inhalts- und/oder sinnentstellende Ver- 
schlusselungsverfahren, herangezogen, wobei hier der zu schutzende Inhall einer Volumen- 
datei eine entsprechend unbrauchbare Fassung erhSIl und erst durch eine zugehorige, dalei- 
5 sowie nutzerindividualisierte Schlusseldatei, die dann beispielsweise einen Reihenfolgeindex 
fur eine korrekte Anordnung vertauschter Einzelbegriffe Oder Satze eines Textes enthall, in 
der Kombination einen so verschlusselten Text verstandlich nnacht. 



Eine derartige sennanlische Verschlusselung bietet gegenuber klassischen Kryptografieverfah- 

ID ren, insbesondere im vorliegenden Kontext der Verschlusselung auf der Ebene des Filesy- 
stems. eine Vielzahl von Vorteilen: So ist zum. einen die Verschlusselungssicherheit, insbe- 
sondere bedingt durch die Moglichkeit. beliebige Informationskomponenten einzufugen bzw. 
auszutauschen. nahezu absolut. wobei insbesondere jegliche Kontext- bzw. Inhaltsabhangig- 
keit des Schlussels vom verschlusselten Text nicht mehr vorhanden ist. Auch lafit sich nnit 

15 diesem Verschlusselungsverfahren in besonders einfacher Weise einen Bezug zum jeweillgen 
Nutzer herstellen. Bei bestimmten ursprunglichen Datenmengen, etwa Texteh, lafit sich zu- 
dem gemafi einer bevorzugten Weiterbildung der Erfindung eine Verschlusselung dergestalt 
vornehmen, dass ein jeweiliger Inhalt zwar gegenuber dem ursprunglichen Inhalt entstellt und 
verandert wird, insoweit also aus Benutzerslcht nutzlos wird, gleichwohl jedoch ein Sinn 

SD und/oder eine technische Lesbarkeit und Darsteltbarkeit der verschlusselten Datenmenge 
erhalten bleibt (mit der Wirkung, dass moglicherweise uberhaupt nicht erkannt wird, dass eine 
Verschlusselung vorliegt). Dies ist beispielsweise dann der Fall, wenn gewisse Worte und 
Begriffe eines Textes (die insoweit als Informationskomponenten im Sinne des Patentan- 
spruches 8 verstanden werden) gegen semantisch und/oder grammatikalisch vergleichbare, 

E 5 inhalUich jedoch anders aufzufassende Termini ersetzt werden. 

Generell erfordert die vorliegende Erfindung eine Metasprache in Form einer linearen Ver- 
kettung von jeweils aus sich heraus sinngebenden Modulen (Infornriationskomponenten), die 
zum Zwecke des vorliegenden Verfahrens zerlegt und durch die Aktionen des Vertauschens, 
30 Entfernens, Hinzufugens und/oder Austauschens in die fur den Nutzer unbrauchbare Form 
(Anordnung) gebracht wird. 

Im Rahmen der vorliegenden Erfindung ist eine Vorrichtung zum Behandein einer elektronlsch 
gespeicherten ursprunglichen Datenmenge geschaffen, welche insbesondere zur implemen- 
35 tierung der vorstehend beschhebenen semantischen Verschlusselung geeignet und vorgese- 
hen ist. 
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In erfindungsgemaR vorteilhafter Weise wird durch eine solche Vorrichtung die Funktionalitat 
einer Schlusselerzeugungs- und Verwaltungseinheit realisiert. welche in der Lage ist. sowohl 
aus einem ursprunglichen, zu schutzenden Dokument (namlich der ursprunglichen Daten- 
menge bzw. Nutzdatei) die semantisch verschlusselten Volumendaten nebst Schlusseldaten 
5 zu erzeugen, als auch fur eine VenA^altung und Weiterbehandiung der so erzeugten Daten- 
mengen zu sorgen. So ist insbesondere die erfindungsgennaBe Analyseeinhelt vorgesehen, 
urn im Rahmen der vorgegebenen Formatstruktur und/oder Grammatik des ursprunglichen 
Dokuments die Voraussetzung fur eine nachfolgende inhalts- bzw. sinnbezogene Verschlus- 
selung zu schaffen, und die der Analyseeinheit nachgeschaltete Verschlusselungseinheit 
10 nimmt dann die Kernoperationen der semantischen Verschlusselung, namlich das Vertau- 
schen, Entfernen, Hinzufugen und Austauschen, auf die Infornnalionskomponenten der ur- 
sprunglichen Datenmenge, unter Berucksichtigung der analysierten Formatstruktur und 
Grammatik, vor. 

15 Dabei isl es besonders geeignet, etwa die Operationen des Vertauschens oder Austauschens 
so vorzunehmen, dass eine betreffende Informationskomponente mil bzw. durch inhaltlich, 
strukturell oder grammatikalisch aquivalente Informationskomponenten ersetzt wird, insoweit 
also das Resultat der Operation nach wie vor scheinbar sinnvoll bleibt. Die weiterbildungsge- 
mafi vorgesehene Aquivalenzeinheit ermbglicht im Rahmen der vorliegenden Erfindung die 

20 Identifikation bzw. die Auswahl geeigneter aquivalenter Informationskomponenten fur diese 
Oder andere Operationen. 

GemaB einer weiteren, bevorzugten Weiterbildung der Erfindung findet zudem eine Operation 
durch die Verschlusselungseinheit unter Berucksichtigung der Grammatik (der zugrunde lie- 

E 5 genden naturlichen, maschinellen oder menschlichen Sprache). des Formats oder der Syntax 
des ursprunglichen Dokuments statt: Durch Wirkung der bevorzugt vorgesehenen semanti- 
schen Regeleinheit ist namlich die erfindungsgemaB vorgesehene Verschlusselungseinheit in 
der Lage. wiederum ein Verschlusselungsergebnis zu erzeugen, welches eine der Ur- 
sprungsdatei entsprechende grammatikalische, formatmafiige und/oder syntaklische Struklur 

3D besitzt, so dass also nicht nur im Hinblick auf die jeweiligen einzelnen Informationskompo- 
nenten (z.B. Worte in einem Text) Aquivalenz gegeben ist, sondern auch im Hinblick auf die 
Strukturen und/oder formatmafiigen Anordnungen (also z.B, die Anordnung von Begriffen in 
einem Satz nach den Regein der Grammatik) regelkonform ist und insoweit ohne inhaltliche 
Prufung nicht erkennen laftt, dass eine den Verschlusselungseffekt bewirkende Operation auf 

35 die Informationskomponenten stattgefunden hat. Als Aquivalenz im Rahmen der vorliegenden 
Erfindung wird insbesondere auch die sog. metaphorische Aquivalenz einbezogen. Als 
metaphorisch bzw. metaphorik im Rahmen der vorliegenden Erfindung sollen dabei jegliche 
Elemente einer Sprache verstanden werden. die in einem aus Verstandnissicht sinnvollen 
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Zusammenhang zueinander stehen, also gewissermafien einer gemeinsamen inhaltlichen, 
thematischen und/oder sinngebenen Gruppe von Sprachelementen (also z.B. Worten) ange- 
horen. Typische Beispiele fur im Rahmen der vorliegenden Erfindung metaphorisch aquiva- 
iente Begriffe sind z.B. "Bahnhor mit "Tankstelle" oder "Flughafen". als jeweilig unmittelbar 
S thematisch dem Gebiet "Verkehr" zugehorig und insoweit metaphorisch austauschbar. Andere 
Beispiele sind Vornamen, Ortsbezeichnungen oder numerische Angaben (wie Datumsanga- 
ben, Wahrungsangaben usw.), die jeweils untereinander als metaphorisch equivalent anzuse- 
hen sind. 

10 Gemafi einer weiteren. bevorzugten Weiterbildung ist der Verschlusselungseinheit eine 
Steuerungselnheit zugeordnet, welche den Verschlusselungsbetrieb (d.h. die Anwendung und 
Wirkung der einzelnen verschlusselnden Operationen) randomisiert: Durch Erzeugen und 
Berucksichtigen einer Zufallskomponente, z.B. einer in ansonsten bekannter Weise erzeugten 
Zufallszahl und deren Berucksichtigung bei dem Vomehmen einer davon abhangigen Anzahl 

15 von Verschiusselungsoperationen, ist sichergestellt. dass ein Verschlussein desselben 
Ursprungsdokuments stets zu einem verschiedenen Ergebnis fuhrt, also die Verschlusselung 
selbst unter ansonsten identischen Bedingungen nie dasselbe Verschlusselungsergebnis 
erzeugt. Auch mit dieser Mafinahme lafit sich die Sicherheit der vorliegenden Erfindung weiter 
erhohen. 

ED 

Generell hat es sich zudem als besonders bevorzugt bewahrt, einem die Verschlusselung 
anwendenden Benutzer die Moglichkeit zu geben. eine vorbestimmte Verschlusselungstiefe 
(und damit eine Verschlusselungssicherheit) vorzuwahlen: Beim beschriebenen 
Erfindungsaspekt der semantischen Verschlusselung korreliert die Frage der 

25 Verschlusselungstiefe mit der Anzahl der durchgefDhrten, die Verschlusselung bewirkenden 
Basisoperationen des Vertauschens, Entfemens. Hinzufugens oder Austauschens, und 
bestimmt insoweit auch das Volumen der erzeugten Schlusseldatei. Durch Einstellen eines 
entsprechenden Parameters kann somit der Nutzer faktisch eine Sicherungsstufe der 
durchzufuhrenden Verschiusselungsoperationen bestimmen, wobei jedoch, im Gegensatz zu 

3D bekannten, klasslschen Verschliisselungsverfahren, in jedem Fall das Ergebnis der 
semantischen Verschlusselung ein scheinbar korrektes (d.h. scheinbar unverschlusseltes) Er- 
gebnis bringt, und die Frage, ob uberhaupt eine Verschlusselung stattgefunden hat, ohne- 
inhaltliche (bzw. mit Vorwissen ausgestattete) Prufung nicht moglich ist. Insoweit lasst sich 
also durch diesen durch die semantische Verschlusselung erslmals erreichten Effekt der 

35 Unsicherheit sogar eine gewisse Schutzwirkung erreichen, ohne dass uberhaupt eine einzige 
Verschlusselungsoperation im vorbeschriebenen Sinne durchgefuhrt wird. 
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Als weitere, besonders bevorzugte Realisierungsform der vorliegenden Erfindung hat es sich 
zudem herausgestelll. mittels der weiterbildungsgemaR vorgesehenen Konvertierungseinheit 
die Volumendaten als Dokument auszugeben, wahrend die Schtusseldatei als lauffahige 
Scriptdaten einer geeigneten Struktur- cxJer Scriptsprache, z,B. XML, SGML. XSL, Visual 
5 Basic (Script), Javascript usw., erzeugt und ausgegeben werden kann. mit dem Vorteil. dass 
insbesondere im Zusammenhang mit Nelz- Oder Internet-basierten Anwendungen dann in 
besonders einfacher Weise ein Wiederherstellen der Ursprungsdaten erfolgen kann, im 
einfachsten Fall durch Ablaufen des das Wiederherstellen unmittelbar bewirkenden Scripts 
(welches uber eine geeignete, das Interesse des Schutzsuchenden berucksichtigende 
10 Verbindung herangefuhrt worden ist). und welches zudem Ansatzpunkte fur weitere 
Sicherheitsmechanismen. z.B. Datenintegritat Oder Serverkontakt, bietet. 

Im Ergebnis laBt sich so mit Hilfe der erfindungsgemaften Infrastruktur eine hochgradig 
sichere und gleichwohl bedlenungsfreundliche Schutzarchitektur schaffen, die nicht nur die 

15 Interessen des Schbpfers eines schutzwurdigen elektronischen Dokuments deutlich besser 
schutzt als dies mit konventionelten Moglichkeiten gegeben ist, sondern die zudem^ auch 
potentiellen Nutzern des geschutzten Inhaltes einen leichten, komfortablen Zugang und Um- 
gang mit dem Dokument enmogllcht, und letztendlich ist zu berucksichtigen, dass nur die 
Existenz eines wirksamen Schutzinstruments gegen unberechtigtes Kopieren und Weiterver- 

ED breiten Garant dafur ist, dass auch zukunftig elektronische Dokumente wertvollen Inhalts und 
mit hoher Qualitat erzeugt und allgemein erhaltlich sein werden. 

Gemali einer bevorzugten Weiterbildung des Verfahrens der semantischen Verschlusseiung 
ist zudem vorgesehen, dass eine erfindungsgemaB erzeugte Schlusseldatei (Datenmenge) fur 

ES Drittpersonen gesondert verschlusselt (konventionell Oder semantisch) wird, und zwar minde- 
stens zweifach, wobei einer ersten Person das Ergebnis der ersten Verschlusseiung und einer 
zweiten Person das Ergebnis der darauffolgenden zweiten Verschlusseiung zugeordnet wird. 
Ein derartiges, erfindungsgemafies Vorgehen hat dann die vorteilhafte Wirkung. dass selbst 
bei Verlust der eigentlichen Schlusseldatenmenge die Nutzdatei wieder hergestellt werden 

30 kann, indem beide EmpfSnger der nachfolgenden Verschlusselungsergebnisse miteinander 
die zugrundeliegende Schlusseldatenmenge durch aufeinanderfolgendes Entschlussein 
erzeugen. Ein derartiges Vorgehen, was insoweit einem Vier-Augen-Prinzip entspricht, wurde 
in erfindungsgemaft vorteilhafter Weise die vorliegende Erfindung unabhangig vom Original- 
schlussel, namlich der zuerst erzeugten Schlusseldatenmenge, machen konnen und insoweit 

35 Ungliicksfallen, wie dem Verlust des Originalschlussels etwa durch Versterben eines Pass- 
vyortinhabers. vorbeugen kbnnen. Entsprechend ist ein zusatzliches. zweifaches Verschlus- 
seln der korrekten Schlusseldatei vorgesehen. ein erstes Ergebnis des zusatzlichen Ver- 
schlusselns wird einer ersten Drittperson zugeordnet, ein zweites Ergebnis des zusatzlichen 
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Verschlusselns wird einer zweiten Drittperson zugeordnet und die korrekte Schlusseldatei ist 
durch aufeinanderfolgendes Entschliisseln mil dem ersten und dem zweiten Ergebnis wieder- 
herstellbar. 

5 Nicht nur in diesem konkreten Beisptel zeigt sich zudem, dass im Rahmen der Erfindung die 
so verschlusselte Nutzdatei eine Volunnendatei ist, also - gegenuber dem offenen Inhalt ~ 
einen vergleichbaren Oder allenfalls wenig veranderten Volumenumfang aufweist. 

Eine vorteilhafte Realisierungsfonn der vorliegenden Erfindung liegt darin, die erfindungsge- 
10 malie SchlQsselspeichereinheil (Schlusseldatenbank) lokal vorzusehen. also innerhalb der 
raumlichen Grenzen der Datenverarbeitungsvorrichtung (z. B. als zusatzliche Festplatte Oder 
anderes, raumlich von dem Dateiablagesystem getrenntes Medium, oder aber loglsch-struktu- 
rell getrennt, etwa In Form einer anderen Partition mit eigener Laufwerkskennung auf einer ge- 
melnsamen Festplatteneinheit). 

IS 

Konkret ist es daher beispielsweise moglich, die Volumendaten (als ursprungliche Daten- 
menge) uber einen Laufwerksbuchstaben in der Art eines Filesystems zu adressieren und 
anschlieflend auf die Schlusseldatenbank zuzugreifen. und/oder die Schlusseldatenbank in 
der Art eines hierarchischen Filesystems zu adressieren und etwa mittels eines Laufwerks- 

ED buchstabens zu kennzeichnen. Entsprechend ist die Schlusseldatenbank lokal in der Daten- 
verarbeitungsvorrichtung. jedoch strukturell oder physisch getrennt von einer dem lokalen 
Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereihheit vorgesehen. und 
die Schlusseldatenbank ist mittels eines eigenen Laufwerksbuchstabens. eines Laufwerkob- 
jektes (mit Datenbankfunktlonalitat verbunden) od.dgl. in der Art eines Filesystems adressier- 

BS bar. 

Im Ergebnis fuhrt damit die vorliegende Erfindung zu einem deutlich erhohten Ma(i an Daten- 
sicherheit. insbesondere im Hinblick auf einiB ansonsten mit geringem Aufwand durch unauto- 
risierte oder widerrechtlich handelnde Personen mogliche Kopie (Backup) gesamter File- 

30 systeme oder Teile von diesen. Durch die mittels der vorliegenden Erfindung realisierte, 
bidirektionale lokale Verschlusselung entstehen nutzbare — und damit auch fur Dritte erst 
wertvolle - Oaten und Informationen im Zeitpunkt der Abfrage bzw. existieren nur vor dem 
Ablegen in das Dateiablagesystem, so dass die vorliegende Erfindung auch als grundsatzliche 
Modifikation eines herkommlicherweise offenen File-Handlingsystems hin zu einem in beide 

3S Richtungen (bezogen auf einen lokal zugeordneten Massenspeicher) durch Verschlussein ge- 
schutzten System verstanden werden kann. 
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Wesenllicher Vorteil des erfindungsgemallen Verschlusselungsverfahrens, im vorliegenden 
Text auch als "semantische Verschliisselung" bezeichnet, 1st es zudem. dass hier aktive 
Daten in Form einer beliebigen Verknupfungsfunktion zur Verschlusselung herangezogen 
werden konnen. insoweit gibt also dieser Schlussel unmittelbare Eigenschaften des ver- oder 
S entschlusselten Dokuments (z.B. Reihenfolge Oder Liicken) wieder. Dagegen sind klassische 
Verschlusselungsfunktionen. die - eindeutig und konkret - eine Beziehung zwischen Schliis- 
sel und zu verschlusselndem Dokument herstellen, eher passiv. d.h. die Verschlusselungs- 
funktion bzw. -operation besitzt keine Beziehung zum Dokument. 

10 Ein weiterer, potentiell nutzbarer Aspekt der vorliegenden Erfindung liegt darin, dass, im Ge- 
gensatz zu klassischen, bekannten Verschlusselungsverfahren, das Ergebnis der semanti- 
schen Verschlusselung ein elektronisches Dokument sein kann, welches fur einen Betrachter 
bzw. Nutzer einen auf den ersten Blick sinnvollen Charakter haben kann. Entsprechendes gilt 
fur das Entschlusseln. mit dem Ergebnis, dass prinzlpiell jeder Ver- oder Entschlusselungs- 

15 vorgang zu einem scheinbar sinnvollen Ergebnis fuhren kann (demgegenuber ist es etwa bei 
herkommlichen Kryptografieverfahren eindeutig. ob ein erfolgreiches Entschlusseln stattge- 
funden hat, denn nur dann entsteht auch ein sichtbar sinnvolles Ergebnis). Dies gilt insbeson- 
dere fur den Anwendungsfall der Erfindung, dass die Schlusselverwaltungseinheit zum Er- 
zeugen und Zuweisen einer Mehrzahl von nutzerspezifischen und volumendateispezifischen 

BO Schlusseldateien fur jede Volumendatei ausgebildet ist, wobei die Schlusselverwaltungseinheit 
mit einer als Teil des lokalen Dateiablagesystems, von diesem logisch getrennt vorgesehenen 
Schlusseldatenbank verbunden ist und zum Veirknupfen einer in der Schlusseldatenbank 
gespeicherten . Schlusseldatei mit einer im lokalen Dateiablagesystem gespeicherten 
Volumendatei so ausgebildet ist, dass im Fall der Verwendung einer korrekten der Mehrzahl 

25 von erzeugten und zugewiesenen Schlusseldateien das korrekte eiektronische Dokument er- 
zeugt wird. und im Fall der Verwendung einer nicht korrekten der gespeicherten Schlusselda- 
teien ein fur einen Nutzer scheinbar korrektes elektronisches Dokument erzeugt wird. 

Die semantische Verschlusselung fuhrt damit zu einer potentiell erhohten Sicherheil im Um- 
30 gang mit verschlusselten oder entschlusselten Dokumenten. wobei damit zusatzlich die Not- 
wendigkeil entsteht, etwa einem Benutzer nach einer durchgefuhrten, erfolgreichen Entschlus- 
selung anzuzeigen, dass er auch tatsachlich das offene, entschlusselte Ergebnis vorliegen 
hat, und nichl etwa ein (da ein Entschlusselungsvorgang erfolglos geblieben ist) nach wie vor 
verschlusselles Dokument. 

35 

Eine derartige Anzeige kann etwa durch ein zusalzliches Originalitatssignal erreicht werden, 
etwa in Form eines (nur) dem Benutzer konkret in dieser Bedeutung bekannnten, optischen 
Hinweises. 
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Eine zusatzliche Qualitat erhalt die im Rahmen der vorliegenden Erfindung eingesetzte se- 
mantische Verschlusselung weiterblldungsgemafi dadurch, dass nicht nur die erfindungsge- 
mafi mit den Operationen Vertauschen. Entfernen. Hinzufugen Oder Austauschen manipulier- 
5 ten Informatioriskomponenten zu Verschlusselungszwecken herangezogen warden, sondern 
eine VerschlQsselungswirkung zusatzlich dadurch erreicht wird, dass die in der durch semanti- 
sche Verschlusselung erzeugten Schlusseldatenmenge vorliegenden Angaben uber die ver- 
tauschten, entfernten. hinzugefugten und/oder ausgetauschten Informationskomponenten 
selbst Operationen des Ver- oder Austauschens unterzogen werden. Mit anderen Worten. die 

ID Weiterbildung der semantischen Verschlusselung liegt in dem senriantischen Verschlusseln 
der einem jeweiligen Dokument zugrunde liegenden sprachlichen / textlichen / strukturellen 
Metaebene (die selbst als ein Weg zum Beschreiben des elektronischen Dokuments verstan- 
den werden kann). In der konkreten Realisierung wurden dadurch also beispielsweise die An- 
gaben (z.B. Befehle oder Syntaxelemente). die den semantischen Verschlusselungsvorgang 

15 beschreiben. ihrerseits durch andere, bevorzugt nicht-sprechende, Angaben ersetzt (nnit der 
Folge, dass vor einem eigentlichen Entschlussein erst eine solche Schlusseldatenmenge wie- 
derhergestellt werden miilite). 

Ein konkreles Beispiel fur eine derartige, weiterbildungsgemafi im Rahmen der Erfindung 
ED ebenfalls verschlusselungsfahige Metasprache sind sog. TAG-Elemente. wie etwa Formatie- 
rungsanweisungen fur Tabellen od.dgl. Auch derartige Format- und/oder Strukturelemente 
eines Dokuments, die, gewissermaBen ubergeordnet uber den eigentlichen inhaitsgebenden 
Worten oder Satzen existieren, sind im Rahmen der vorliegenden Erfindung durch die Basi- 
soperationen des Vertauschens, Entfernens. Hinzufugens oder Austauschens behandel- und 
SS damit schutzbar. 

Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgen- 
den Beschreibung bevorzugter Ausfuhrungsbeispiele sowie anhand der Zeichnungen; diese 
zeigen in: 

30 

Fig. 1: ein schematisches Blockschaltbild der Datenverarbeitungsvorrichtung gemali 

einer ersten, bevorzugten Ausfuhrungsform der Erfindung und 

35 Fig. 2: ein schematisches Blockschaltbild einer Schlusselerzeugungs- und -verwal- 

tungseinheit im Rahmen der Erfindung. 
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Die Fig. 1 verdeutlicht anhand eines Einplatz-Computersystems, wie die vorliegende Erfindung 
mit Baugruppen und Komponenten eines handelsiiblichen PCs reaiisiert werden kann. 

Eine lokale Recheneinheil 10, reaiisiert durch das PC-Mainboard mit ublichen Prozessor-. 
S Speicher- und Schnittstelleneinheiten, greifl auf ein lokales Dateiablagesystem 12, reaiisiert 
als Festplatte, zu, wobei die Verbindung zwischen Recheneinheit und Dateiablagesystem 
bidirektional ist, also sowohl Schreibvorgange der Recheneinheit auf das Dateisystem durch- 
gefuhrt werden konnen, als auch umgekehrt Dateien der Einheil 12 gelesen (aufgerufen) 
werden und dann uber geeignete Ein-/Ausgabeeinheiten 14 (z. B. ein Bildschirm. Drucker, 
ID Schnittstellen zum AnschlieBen anderer Rechnersysteme, Dalenleitungen usw.) offen lesbar 
bzw. nutzbar zur Verfugung stehen. 

Das Dateiablagesystem 12 kann dabei ein logisch-strukturell getrenntes Dateiablagesystem 
sein, das als Teil einer grofieren Dateiablage fur den vorliegenden Zweck speziell vorgesehen 
15 ist. 

Wie die Fig. 1 zeigt. ist zwischen Recheneinheit 10 und Dateiablagesystem 12 eine Schlussel- 
Verwaltungseinheit 16 zwischengeschaltet, die eine bidirektionale Verschlusselung von in 
Richtung auf das lokale Dateiablagesystem 12 gerichteten, zu speichernden Nutzdateien - 
20 Textdateien, Bilddateien usw. - vornimmt. und die zudem in entgegengesetzter Richtung eine 
Entschlusselung von im lokalen Dateiablagesystem gespeicherten, als solche nicht lesbaren 
(d. h. nicht brauchbaren) Volumendateien zuruck in eine brauchbare Nutzerdatei vornimmt. 

Zu diesem Zweck bedient sich die Schlusselverwaltungseinheit einzelner Schlussel, die be- 
25 nutzer- (gruppen-) spezifisch sowie dateispezifisch erzeugt werden und in einer Schlus- 
selspeichereinheit 18 abgelegt sind. 

Im beschriebenen Ausfuhrungsbeispiel ist die Schlusselspeichereinheit physisch auf derselben 
Festplatte wie das Dateiablagesystem 12 enthalten, jedoch logisch und strukturell von diesem 
3D getrennt, indem der Schlusselspeichereinheit 18 (alternativ oder zusatzlich: dem Da- 
teiablagesystem 12) eine eigene Laufwerkskennung zugeordnet ist. 

Erst mittels des dokumentspezifischen Schlussels ist es fur einen Benutzer der Recheneinheil 
mbglich, eine im System 12 gespeicherte Volumendatei in benutzbarer (lesbarer) Weise aus- 
35 zugeben, bzw. eine aktuell bearbeitete Datei dort abzulegen. 



Weiterhin sieht die in Fig. 1 gezeigte Ausfuhrungsform der Erfindung vor, dass, mit der Re- 
cheneinheit verbunden, eine Benutzer-ldentifikationseinheit vorhanden ist. die beispielsweise 
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durch ein geeigneles Softwaremodul im Rahmen des Rechner-Betriebssystems Oder eines 
konrekten Anwendungsprogrammes realisiert sein kann. 

Eine solche Beriutzeridentifikation ermSglicht es, die in der Schlusselspeichereinheit 18 abge- 
legten Schlusseldateien benutzerspezifisch zuzuordnen und zur Verfugung zu stellen, so dass 
auf diesem Wege einem jeweiligen Benutzer der Zugriff nur auf fur ihn autorisierte Volumen- 
dateien in dem Dateiablagesystem 12 moglich ist. Besonders geeignet enthalt beisplelsweise 
im dargestellten Ausfuhrungsbeispiel das fur die Schlusselspeichereinheit vorgesehene Lauf- 
werk eine - fur den Benutzer unsichtbare - Unterteilung nach Benutzern fur jeweils vorgese- 
hene Schlusseldateien, so dass die Sicherheit des Zugriffs auf das Dateiablagesystem welter 
erhoht wird. 

Neben gangigen Verschlusselungsverfahren fur im Dateiablagesystem unlesbar (und damil 
als solche unbrauchbar) gehaltene Volumendateien bietet sich zur Realisierung der vorlie- 
genden Erfindung insbesondere die sog. semantische Verschlusselung an. also das plan- 
maflige Verandern des Inhafts einer Volumendatei durch etwa das Umstellen der Reihenfolge 
von Inhaltskomponenten eines nur in dieser bestimmten Reihenfolge sinnvoll und (vollstandig) 
nutzbaren Inhaltes (also etwa ein Umstellen von Wortern oder Satzen innerhalb eines 
Gesamttextes), wobei dann der hierzu generierte und in der Schlusselspeichereinheil 18 
abgelegte Schlussel eine korrekte Reihenfolgeinformation erhalt. Andere Moglichkeiten einer 
solchen semantischen Verschlusselung waren das Austauschen, Weglassen oder Ersetzen 
von vorbestimmten oder zufallig ausgewahlten Schlusselwortern. das Erzeugen von Lucken 
Oder das Einfugen von sinnentstellenden Zusatzenl 

25 Auf die beschriebene Weise wurde somit ein unautorisierter Zugriff auf das Dateiablagesy- 
stem, etwa im Wege eines voilstandigen Backup, den Zugreifenden lediglich mit unvoltstan- 
digen und im Ergebnis nutzlosen Daten belassen, die selbst durch gangige Entschlusselungs- 
verfahren, ohne die getrennt gespeicherte Schlusselinformation. nicht in lesbare Form her- 
stellbarsind. 

3D 

Durch die Wirkung der Schlusselverwaltung im Hintergrund (nach einmal erfolgter Identiflka- 
tion des Benutzers durch die Einheit 20) bleiben zudem diese sicherheitserhohenden Vor- 
gange fur den Benutzer unbemerkt, und. insbesondere wenn - etwa durch Einsatz spezieil 
eingerlchteter Hardware-Bausteine fur die SchlusselvenAraltungseinheit 16 - die Ver- und 
35 Entschlusselungsschritte schneli genug ablaufen, wirkt sich das erfindungsgemafte Vorgehen 
auch hinsichtlich der konkreten Betriebsgeschwindigkeit des Datenverarbeitungssyslems nicht 
nachteilig aus. 
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Im Rahmen der vorliegenden Erfmdung liegt es zudem. die eins-zu-eins-Beziehung von Volu- 
mendatei und Schlusseldatei dahingehend zu modifizieren, dass insbesondere auch einer (z. 
B. besonders umfangreichen) Volumendatei eine Mehrzahl von Schlusseldateien zuzuordnen 
isl, wobei in diesem Fall der Begriff •Volumendateispezifisch" im Hinblick auf jeweilige Datei- 
5 abschnitte bzw. Bereiche fOr eine zugehorige Schlusseldatei zu interpretieren ist. 

Im weiteren soli beschrieben werden. wie die AusfOhrungsfomi gemali Fig. 1 von einem - 
autorisierten Oder unautorisierten - Benutzer in der Art eines Filesystems zugegriffen werden 
kann. so dass die Art und Weise des Zugriffs selbst Bestandteil der Sicherheitsstruktur der 
ID vorliegenden Erfindung wird. 

Wesentliche Aufgabe der Schlusselverwaltungseinheit 16 ist das Herstellen einer logischen 
Beziehung zwischen Volumendaten 12 und jeweiligen (benutzer- und dokumentspezifischen) 
Schlusseldaten 18. In einer bevorzugten Realisierungsform der Erfindung laftt sich dabei ins- 

15 besondere die Kombination von Schlusselverwaltungseinheit 16 und Schlusselspeichereinheil 
18 als programmtechnisch zu losende spezielle Darstellungsform zu verstehen, die, etwa in 
der Art des Explorer fur das Windows-Betriebssytem, in der Lage ist, individuelle (d.h. benut- 
zerspezifische, abhangig von einer jeweiligen Autorisierung) Ansichten von elektronischen 
Dokumenten in einer hierarchischen Anordnung darzustellen. wie es der Dateiordnung und 

20 der jeweiligen Berechtigung des Benutzers entspricht. Mit anderen Worten, durch Wirkung der 
Einheit 16 erhalt der Benutzer als Ansicht (und auch zum ZugrifO eine hierarchische Anord- 
nung von fur ihn autorisierten Dokumenten dargestellt, im Idealfall so, dass er den Umstand 
einer Verschlusselung der jeweiligen dargestellten Dokumenle (bzw. einer Nicht-Verschlusse- 
lung) nicht bemerkt. Er kann also innerhalb dieser individuellen» benutzerspezifischen, durch 

25 einen Autorisierungsvorgang bestimmten Ansicht so agieren. als wurden keine Schutzmecha- 
nismen sichtbar existieren. 



Gleichwohl basiert eine derartige, aus Benutzersicht (nach wie vor komfortable) Moglichkeit 
der Arbeit mit der vorliegenden Erfindung auf einer ubergeordneten, sicheren Zuordnung und 

30 Dokument- bzw. Schlusselverwaltung. wie sie die eigentliche Aufgabe der Einheit 16 ist: Mit 
Hilfe typischerweise eines Datenbanksystems, im einfachsten Fall einer Konkordanztabelle. 
welche verschiedenen Personen die jeweils fur sie autorisierten Volumendateien. Schlus- 
seldateien, zugehorige Attribute usw. zuordnet, ist die in der Einheit 16 enthaltene Darstel- 
lungseinheit in der Lage, die benutzerspezifische Ansicht individuell zu kreieren und im 

3 5 Rahmen dieser benutzerspezifischen Ansicht dann auch ggf. verschlusselte Dokumente mit 
zugehorigen Schlusseldateien korrekt zusammenzufuhren und so zu rekonstruieren. Ein der- 
artiges, die Funktion der Einheit 16 bestimmendes Datenbanksystem (Beispiel: Tabelle) ent- 
hall diesbezuglich typischerweise die den jeweiligen Schlussel-, Volumen-Dateien zugehori- 
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gen Pfadangaben; erganzend und/oder alternativ konnen insbesondere auch Rekonstruk- 
tionsanweisungen als Bestandteile von Schlusseldateien unmittelbar in einer solchen Tabelle 
2um Zugriff enlhalten sein (was sich insbesondere dann anbietet. wenn eine derartige Tabelle 
dynamisch erzeugt wird und der dadurch erhaltene Vorteil ausgenutzt wird, dass das gesamte 
5 Dateisystem nicht zus^tzlich belastet wird). Insoweit ist als "Schlusseldatei" im Rahmen der 
vorliegenden Erfindung insbesondere auch als Eintrag in einer solchen Datenbank (Tabelle) 
zu verstehen, dergestalt, dass dieser Eintrag das ordnungsgemafie Rekonstruieren im Rah- 
men der Erfindung ermoglicht. Auch dieser Ansatz bietet Eingriffs- bzw. Ansalzmoglichkeiten 
fur das bevorzugt anzuwendende Schutzverfahren der semantischen Verschlusselung: Nicht 

10 nur kann Aufbau, Feldinhalt und/oder Reihenfoigeposition eines Eintrags innerhalb der Da- 
tenbank (Tabelle) semantisch manipuliert sein, auch ist das Vorsehen von Zwischentabellen 
(etwa in Form von sog. N:M-Zuordnungen) moglich, um Komplexitat und damit Entschlusse- 
lungssicherheit der Vorrichtungen weiter zu erhohen. Zur weiteren Sicherheitserhohung ist es 
zudem, analog dem Gedanken der Mehrzahl von Schlusseldateien zu einem Volumendoku- 

15 ment, moglich, mit einer Mehrzahl von (zueinander bevorzugt aquivalenten) Konkordanztabel- 
len zu arbeiten, die, uber die Aufgabe der Volumendatei-. Schlussel- und Personenzuordnung. 
eine Mehrzahl von moglichen Ansichten bzw. Bearbeitungsbereichen (fur jede Person, oder 
fur mehrere Personen) ermoglichen. 

ED Bestandteil der benutzerspezifischen Ansichten bzw. der dadurch gegebenen Bearbeitungs- 
umgebungen ist. durch das Filesystem geregelt. die Moglichkeit einer Anpassung, Aklualisie- 
rung bzw. eines Updates fur durch Eingriff des Benutzers entsprechend geanderte Inhalte 
eines jeweiligen elektronischen Dokuments. insbesondere betreffend das Fortschreiben des 
Verschlusselungsmechanismus zwischen Volumendatei (in Einheit 12) und Schlusseidatei (in 

25 Einheit 18). so dass auch insoweit der vom Benutzer zugefugte Dokumentbestandteil und/oder 
dessen Anderung entsprechend Verschlusselung enthalt. Damit sind im Rahmen der vorlie- 
genden Ausfuhrungsform Synchronisationsmechanismen geschaffen. 

Auf diesem Wege ist dann insbesondere auch das Abfangen missbrauchlicher Zugriffsversu- 
30 che auf die Datenverarbeitungsvorrichtung der vorliegenden Erfindung moglich: Erfolgt etwa 
ein missbrauchlicher Zugriff auf den autorisierten Datenbestand fur eine Person (erkannt z.B. 
dadurch. dass sich ein missbrauchlich Zugreifender zwar fur eine Person autorisiert. jedoch 
ein falsches Passwort eingibt), so erhalt dieser Zugreifende zwar durch Wirkung der Schlus- 
selverwaltungseinheit 16 eine Ansicht von Dateien dargeboten. ist jedoch weder in der Lage, 
35 auf den tatsachlichen, vollslandigen Inhalt dieser Dateien zuzugreifen. noch wird es ihm er- 
moglicht. Anderungen an diesen Dateninhalten vorzunehmen. Vielmehr ist das System so 
ausgebildet, dass es auf Eingaben des Zugreifenden reagiert. insoweit also entsprechenden 
Anderungen folgt, diese schlagen sich jedoch nicht in den erfindungsgemaB geschutzten Ori- 
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ginaldalen wieder. sondem nur in der durch die Einlieit 16 verwalteten virtuellen Sicht des 
widerrechllich Zugreifenden. So konnen zwar durch Eingriff eines widerrechtlich Zugreifenden 
durchaus verschlusselte Volumendaten geandert werden (woraufhin dann eine entsprechende 
Anpassung der Schlusseldaten erfolgt). das zugrundeliegende, ursprungliche Dokument bleibt 
5 jedoch von diesen Manipulationen unbeeinflusst. 

Auf die oben beschriebene Welse stellt sich daher sonnit die Schlusseldatenbank bzw. die 
SchlusselvenA^altungseinheit als Bestandteil der erfindungsgemaRen Datenverarbeltungsvor- 
richtung dar, die logische und damit virtuelle, hierarchisch geordnete und individuell - benut- 

ID zerspezifische Ansichten (und damit Benutzer-Zugriffsbereiche auf der lokalen Rechnerein- 
heit) schafft, die jedoch gleichermafien einen Maximum an Zugriffsschutz gegen missbrauch- 
lichen Zugriff sicherstellt. indem namlich. insbesondere mit dem Instrument der semantischen 
Verschlusselung, ein tatsachlicher Zusammenhang zwischen Schlusseldateien (mit Rekon- 
struktionsanweisungen) und einer zugrundeliegenden Volumendatei unsichtbar und intranspa- 

15 rent bleibt. 

In der praktischen Realisierung der vorliegenden Erfindung erscheint es dabei insbesondere 
auch ratsam, sehr weitgehend vom Betriebssystem vorgesehene Operationen des Dateizu- 
griffs an die erfindungsgemaBe Vorgehensweise anzupassen. nicht zuletzt urn eine ordnungs- 
gemalle Unterscheidung von erfindungsgemafj zu sichemden und ansonsten offenen, frei 
zuzugreifenden Dateien eines eher typischerweise fur verschiedene Anwendungen benutzten 
lokalen Rechnersystems sicherzustellen. ohne dass Sicherheitslucken auftreten (oder dass, 
von autorisierten Zugreifenden, verschlusseiter Volumendaten irrtumlich als unverschlusselle 
Originaldaten missinterpretiert werden, was durch den Charakter der semantischen Ver- 
schlusselung ohne weiteres gegeben sein konnte). Da jedoch derartige Eingriffe in ein Be- 
triebssystem problematisch sein konnten, ware es alternativ moglich, im Rahmen der vorlie- 
genden Erfindung uberhaupt betroffene Dateien mit einem Header zu versehen. welcher obli- 
gatorisch und automatisch eine Uberprufung auslost. ob es sich um eine bestimmungsgemaft 
zu verschlusselnde bzw. im Rahmen der vorliegenden Erfindung zu behandelnde Datei han- 
delt, Oder aber um eine prinzipiell unverschlusselte. 

Dementsprechend liegt eine weitere. mogliche Weiterbildung der vorliegenden Erfindung 
darin, mit Mittein des Datenbank- und Systemdesigns der vorliegenden Datenverarbeitungs- 
vorrichtung die Grenzen zwischen Benutzern individuell selektiv anzuzeigenden (und zuzu- 
35 greifenden) elektronischen Dokumenten und solchen Dokumenten, die irgendwelchen Zu- 
griffsregeln uberhaupt nicht unterliegen, verwischen zu lassen (also die Ansichten auf die Ver- 
zeichnisse und der darin enthaltenen Dokumente nicht zu trennen) und insoweit Unsicherheit 
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daruber entstehen zu lassen, ob uberhaupt die innerhalb einer benutzerspezifischen Ansicht 
dargebotenen elektronischen Dokumente zugriffsgeschutzt sind. 

Daruber hinaus liegt eine vorteilhafte Weiterbildung der vorliegenden Erfindung darin, die ge- 
5 mad der vorbeschriebenen Ausfuhrungsformen verwendeten, benutzerspezifischen Ansichten 
der Dateien im Filesyslem dynanr)isch und insbesondere im Zusanr^menhang mit einem jeweili- 
gen Beginn einer Benutzersession eines Benutzers uberhaupt erst zu erzeugen, so dass in- 
soweit ein festes, invariables Schema von benutzerspezifischen Ansichten uberhaupt nicht 
existiert (entsprechend auch auf einer Uberwachungs- bzw. Supervisorebene nicht kontrollier- 
ID bar, sogar explizit abkoppelbar ist), und so der Sicherheitscharakter der Gesamtlosung weiter 
verstarkt wird. 

Zur erganzenden Eriauterung des Verschltisselungsverfahrens gemafi unabhangigem An- 
spruch 8 (im weiteren auch "semantische Entschlusselung" genannt), werden im folgenden 
15 Details und Eigenschaften dieses Verfahrens naher beschrieben, die Gegenstand der vorlie- 
genden Erfindung sind. 

Die semantische Verschlusseiung, also die Verschlusselung des Sinns besteht In der Auftei- 
lung von Originalen Daten (OD) in Volumendaten (VD) und Arbeitsanweisungen Oder Rekon- 

EO struktlonsanweisungen (RA). Es liegt in dem zugrundeliegenden Konzepl des Verfahrens, dafi 
die Volumendaten frei und ohne zusatzlichen Schutz verteilt werden konnen. Die RA mussen 
getrennt von den VD aufbewahrt werden. Die Benutzung der OD und der Zugriff auf die OD 
geht nur, wenn der Zugriff auf die RA mit Reglementierungen belegt sind und die RA 
entsprechend geschutzt abgespeichert sind und auf sie nur reglementiert zugegriffen werden 

BS kann. 

Die Venvaltung der RA bzw. der Schlusseldaten und des Zugriffs auf diese RA geschieht 
durch eine Datenbank, im folgenden auch Schlusseldatenbank oder Schiusseleinheit genannt. 
Da der Zugriff auf diese zentrale Schiusseleinheit ebenfalls mit einem Schlussel und / oder mit 
3D einem Paftwort geschieht und da diese Daten besonders sensibel sind und daher das erste 
Ziel von Angriffen auf die Vertraulichkeit und auf die Gehelmhaltung der darIn enthaltenen 
Daten darstellt, muli die Sicherheit vor unautorisierten Zugriff durch eine zusatzliche 
Verschlusselung sichergestellt werden. 

35 Diese Schiusseleinheit eriaubt die Abspeicherung der Zugrlffsdaten oder Zutrittsdaten (ZD) 
und bietet damit den Zugriff auf die Daten im Rahmen einer Zugriffskontrolle. 
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Bei einem Zugriff will ein Benutzer also ein Subjekt auf ein OD Objekte zugreifen, Ob uber- 
haupt die Rechte fur die beabsichtigte Zugriffsoperation vorhanden sind, entscheidet die Zu- 
griffskontrolle. 

5 Die Zugriffskontrolle entscheidet. ob die angefragte RA fur ein identifiziertes Subjekt freige- 
schaltet werden darf, oder ob die Obergabe der RA an dieses Subjekt blockiert werden muB. 

Der Zugriffsschutz auf das Dokument besteht somit aus einer semantischer Verschlusselung 
des Dokumentes auf einem Massenspeichers und aus einer klassisch oder senrjantisch ver- 
ID schiusselten Zugriffs auf die RA, die zu den semantisch verschlusselten VD gehort. 

Die Daten in der Schlusseleinheit konnen ebenfalls bei einem Backup mit abgespeichert 
werden. Der Zugriff auf die Daten innerhalb dieses Schlusseleinheit kann zusatzlich erschwert 
werden. wenn der Schlussel mit dem auf den Schlusselserver zugegriffen werden kann, nicht 
IS eindeutig ist. Wenn mehr als ein Schlussel fur die Entschlusselung piausibel oder gar nur 
theoretisch moglich ist. dann bedarf es zusatzlicher Kriterien. um sich selber und andere 
davon zu uberzeugen. 6a& der Schlussel korrekt ist. 

Der Nachteil der klassischen Kryptographie besteht darin. da(J die naturlichen Redundanz der 
ED Sprache genutzt werden kann. um die verwendeten Schlussel berechnen zu konnen. oder dali 
die Schlussel sofern sie vorliegen genutzt werden konnen um durch einmalige die Anwendung 
sehr leicht beweisen zu konnen. dali sie korrekt sind. Der Beweis, dafJ der gegebene Schlus- 
sel eindeutig ist. kann durch statistische Verfahren bei groBeren Datenmengen leichter gefuhrt 
werden. Je groBer die Datenmenge ist, desto leichter ist auch die Entschlusselung. 

BS 

Der Vorteil der semantischen Verschlusselung besteht auRerdem darin, dali besonders grofie 
Datenmengen zuverlassiger und sicherer geschutzt werden konnen. Die semantische Ver- 
schlusselung liefert eine sehr grolie Menge von moglichen Schlussein, die angewandt auf 
Volumendaten sinnvolle und ggf. auch brauchbare Daten liefern. Auch ein amateurhafter An- 
3D greifer konnte sich selber eine ganze Klasse von Schlussein ausdenken. die angewandt auf 
die verschlusselten Daten scheinbar einen korrekten Inhalt liefern. Der Beweis von Originalitat 
kann ggf. auch spater und unabhangig von der Ver- und Entschlusselung gefuhrt werden. 

Als Beispiel kann der Satz dienen: Holen Sie Herm Manfred Schmidt morgen (Datum) um 
35 12:17 von Bahnhof in Munchen ab. Obwohl die Ort, die Zeit und der Aktion genau spezifiziert 
worden ist. kann bei einer semantischen Verschlusselung keine Aussage daruber getroffen 
werden. was der originate Inhalt darstellt. Jeder kann Rekonstruktionsanweisungen entwik- 
keln, mit der der Sinn dieses Satzes geandert werden kann. So kann das Datum, die Uhrzeit. 
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der Ort die Namen der Personen Oder die Aktion z.B. durch das Wort „nicht„ vor dem Wort 
„ab„ in das genaue Gegenteil umgedreht werden. 

Der Beweis der Originalitat kann z.B. darin bestehen, dali ein zwischen dem Erzeuger und 
dem Benutzer dieser verschlusselten Daten ein Kriterium vereinbart werden kann, dali beide 
als ein Beweis fur Originalitat akzeptieren wurden. Dieses Kriterium kann anders ais bei der 
klassischen Kryptographie nicht mathematischer und/oder statistischer Art sein. Falls der 
Erzeuger und Benutzer efn und dieselbe Person ist, so kann z.B. die Signalisierung der richti- 
gen Entschlusselung in der Anzeige eines vorher nur ihm als korrekt bekannten Bildes dar- 
stellen. Ein Angreifer wurde ebenfalls immer ein Bildes sehen. aber er konnte nicht wissen, 
welches und ob es korrekt ist. 

Ein in der Schlusseleinheit verwaltetes mathematisches Kriterium, wie das einer digitalen 
Signatur, konnte angewandt auf einen im Kontext nicht ersichtlichen Daten Teilbestandes die 
IS Zuverlassigkeit des Gesamtsystems fur die Benutzer erhohen. ohne daft daraus Informationen 
uber einen Angriff auf den Schlussel gewonnen werden kann. 

Die Vorteile einer auf ein Datenbankmodell und Verschlusselung gestutzten Zugnffskontrolle 
besteht in der Herstellung der Sicherheit der Daten, der Nachweisfuhrung. ob Zugriff auf 
Daten genommen worden ist. das Nachvollziehen und die Uberprufung der Verantwortlichkeit, 
ob ein Zugriff genommen werden darf und ob eine Anderung an den Daten vorgenommen 
werden darf. AuBerdem kann der Lebenszyklus eines Dokumentes. d.h. das Publizieren eines 
Dokumentes genauso wie das nicht mehr zuganglich machen eines Dokumentes durch den 
Zugriffsschutz auf die RA hergestellt werden. 

Der Zugriff auf die Backupdaten kann auch uber die mitgesicherte Schlusseleinheit gesche- 
hen. Die Schlusseldaten konnen so venvaltet werden. daft ein Auslesen dieser Daten und ein 
Verwalten in einer anderen Schlusseleinheit verhindert werden kann. Durch den Vergleich der 
abgespeicherten relativen oder absoluten Datenposition innerhalb des Massenspeicher von 
der Schlusseleinheit kann die Zugnffskontrolle innerhalb der Schlusseleinheit feststellen, ob 
der Zugriff von einem Backup erfolgt oder von der originalen Schlusseleinheit. 

Uber die Zugnffskontrolle konnen verschiedene Stufen der Geheimhaltung realisiert warden. 
Da die Dokumente mehr Oder weniger unabhangig von der Art der verwendeten semantischen 
35 Verschlusselung nahezu als aquivalent geschutzt angesehen werden konnen, kann die Ge- 
heimhaltung der Daten und deren Zugang nur uber die Schlusseleinheit gestaltet werden. 
Durch die Zugehorigkeit zu einer Schnittmenge von Benutzergruppen kann einem Teilnehmer 
die Verwendung eines nur in der Datenbank enthaltenen Zusatzschlussels ermoglicht werden. 
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der dann den entschlusselten Zugriff auf die dokumentenspezifisch und benutzergruppenspe- 
zifisch verschlusselten Daten freigibt. 

Der Einsatz der semantischen Verschlusselung bei der Obertragungssicherung im Rahmen 
5 einer Kommunikation besteht in dem Austausch von verschlusselten Daten zwischen minde- 
stens 2 Teilnehmern A und B. Der Schutz eines Backup Oder eines langfristig angelegten Ar- 
chivs ist ein von der zeitllchen Dauer her betrachteter Ubertragungsvorgang als extremes Bei- 
spiel fur die Anwendung der Ubertragungssicherheit anzusehen, da bei der Entwendung des 
Backup alle nichtgeschutzten Daten einem nichtautorisierten Teilnehmer bekannt werden. Bei 

10 der Ubertragung von Daten muli daher auch zwischen einer synchronen Benutzung von Da- 
ten beim Teilnehmer B und von einer spateren also asynchronen (Teil-) Benutzung von 
ubertragenen Daten unterschieden werden. Bei einem Backup wird von einer asynchronen 
Benutzung der Daten ausgegangen, die aulierdem so abgespeichert sein sollten, dafi ein Zu- 
griff auf die verschlusselten Daten jederzeit und mehrfach auch ohne Kenntnis vom Teilneh- 

IS mer A durchgefuhrt werden kann. 

Bei der Herstellung von Obertragungssicherheit muli es aber mindestens einen Kontakt 
zwischen A und B gegeben haben, damit eine Identifikation und Authentifikation (l&A) durch- 
gefuhrt werden kann. Die Ubertragung der VD geschieht in eihen oder mehreren Datenuber- 
ED tragungsschritte. Die Ubertragung der RA kann vor/nach/wahrend der l&A und Oder der 
Ubertragung der VD geschehen. Im Rahmen der Erfindung kann die einmalige oder mehrma- 
lige Ubertragung der RA der Ubertragungssicherheit und der Situation angepaUt werden. Die 
bei dem Backup auch abgespeicherte Schlusseleinheit verwaltet uber die Zugriffskontrolle den 
Zugriff auf das Backup. 

55 

Falls aufgrund der Anwendung keine Zeitverzogerung bei der Ubertragung akzeptiert werden 
kann. mussen VD und RA zeitlich korreliert ubertragen werden. Falls die Anwendung asyn- 
chron zur Obertragung mit den OD arbeiten soli, dann kann die Ubertragung der RA auch 
nichtkorreliert geschehen und ggf. auch mit den VD zusatzlich semantisch oder klassisch 
30 verschlusselt mitgegeben werden. 

Unter Ubertragungssicherheit kann allgemein der Schutz der Vertraulichkeit oder der Schutz 
vor Veranderungen bei der Ubertragung der Daten verstanden werden. Bei der Semantischen 
Verschlusselung ist der Schutz der Vertraulichkeit bei VD unmittelbar gegeben. Die Anwen- 
3S dung von zusatzlichen klassischen Verschlusselungen ist auf eine geringe Anzahl von Daten, 
z.B. auf die sessionweise, individuell verschlusselten RA. beschrankt. 
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Die unbemerkte Anderung der auszugebenden entschlusselten Daten. kann bei der Anderuhg 
der VD nur unterhalb einer von dem Angreifer nicht erkennbaren Auflosung geschehen, falls 
z.B. die Rekonstruktion nur in der Wiederherstellung der richtigen Reihenfotge von Satzen 
bestehen wurde. Da z.B. die Semantische Verschlusselung nur in der Anderung der Reihen- 
S folge der Satze bestehen konnte, kann die Anderung von Worter innerhalb eines Satzes nicht 
festgestellt werden. Fur die Registrierung einer Anderung ist der Augenschein nicht ausrei- 
chend. Daher kann ein zusatzliches Verfahren zur digitalen Beweissicherung fur die Feststel- 
lung von Anderungen bei den Volumendaten eingefuhrt und mit der semantischen Verschlus- 
selung kombiniert werden. 

ID 

Wenn die Volumendaten bei der Kommunikation als ganzes Oder als verwendbare Teildaten 
komprimiert sind, dann kann die Ubertragung der Daten schneller und auch zuverlassiger er- 
folgen. Die Sicherheit der so ubertragenen Daten ergibt sich aus der nichtlinearen Verknup- 
fung zwischen den komprinnierten Daten. Dagegen kann die heruntergeladene komprimlerte 
15 Datei auf dem lokalen Rechner in der oben beschriebenen Weise verandert werden, so dafi 
fur die Verhlnderung dieser Manipulationen auch klassische Methoden der Beweissicherung 
ihre Anwendung finden konnen. 

Bei einem Verwendungszweck in der Beweissicherung steht im Vordergrund, ob die Daten 
2Q echt sind. d.h. im Sinne originar, unverandert Oder unversehrt vorliegen. Die Daten sind von 
einem bestimmten (anonymen oder bekannten) Benutzer, sie stammen von einer bestimmten 
Quelle, bzw. sind an einem bestimmten Datum erstellt worden. Bei der Beweissicherung muB 
ggf. der Kontext der Daten dargestellt werden. Zu dem Kontext konnen auch die Zugriffsdaten 
gehoren. Fur die Beweissicherung mufi nachvollzogen werden konnen, dali die Volumen- 
daten. die RA und die Datenbank, auf der die Zugriffsdaten abgespeichert sind, nicht veran- 
dert worden sind bzw. nicht ohne Spuren zu hinterlassen verandert werden konnen. 

Bisher konnte die Beweissicherung nur mit einer der folgenden Mittel hergestellt werden: 
Abspeicherung des Wertes einer Einwegfunktion. d.h. Venvendung einer digitalen Signatur 

30 Oder die Abspeicherung der Daten auf ein nicht mehr veranderbares Speichermedium 
(Laserdisc, WORM) auf die zu schutzenden Elemente (VD, RA, ZD und Datenspeicherein- 
richtung). Als zusatzlicher Vorteil der semantischen Verschlusselung wirkt sich die Trennung 
der OD in VD und RA als eine zusatzliche Verbesserung der Sicherheit der bestehenden 
Verfahren zur Beweissicherung aus. Die Beweissicherung ist im Rahmen der Semantischen 

35 Verschlusselung ein unabhangiges Add-On. auf das je nach Anwendung auch verzichtel 
werden kann. und als Tei! der Schlusseleinheit angesehen werden kann, bei der jede zusatz- 
liche Verschlusselung sich relativ zu dem bestehenden Datenkontext hinzufugt. 
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Da die Positionierung von Daten sich relativ zu einer Menge von sich andemden Orientie- 
Rjngsmarken innerhalb eines Datenkontext verandern kann, kann neben der Entschlusselung 
der Daten auch das Anderungsprotokoll als relative Aktualisierungsdaten semantisch ver- 
schlusselt abgespeichert werden. Eine Manipulation in der abgespeicherten Vergangenheit 
5 dieser Daten wurde so sofort registriert werden konnen, da der Kontext entweder von der Ge- 
samtdatei oder von einer Teildatenmenge zerstort werden kann. 

Der Vorteil der semantischen Verschlusselung besteht darin, dali kein inharenter Integritats- 
schutz enthalten ist und daB er durch zusatzliche Verfahren gezielt mit Redundanz oder mit 
ID anderen Kontext schaffenden Infornnationen zusatzlich herangefuhrt werden kann. 

Die Uberprufbarkeit von Datenintegritat, also die Feststellung einer Anderung von Daten, die 
entweder bei der Quelle (Server), bei der Ubertragung oder auf dem lokalen Rechner manipu- 
liert worden sein kann, ist fur die Vertrauenswurdigkeil der semantisch verschlusselten Daten 
15 wichtig. Die Datenintegritat ist fur die Anerkennung von Daten durch den Benutzer wichtig. Zu 
diesem Zweck kann ein mathematisches Beweisfuhrungsverfahren, wie die Anwendung eirier 
Einwegfunktion zusammen mit einer lokalen Datei oder ein unverandertes Merkmal auf einem 
Server bei dem entsprechenden Nachweis eingesetzt werden. 

20 Bei einer Uberprufung der Datenintegritat findet entweder diese Oberprufung auf der lokalen 
Maschine oder auf dem Server geschehen. je nachdem wie die Interessen bei dieser Uber- 
prufung verteilt sind. Eine Anderung der Daten kann durch die mathematischen Beweisfuh- 
rungsverfahren jederzeit. also auch vor der unmittelbaren Benutzung durch den Anwender 
durchgefuhrt werden. 

as 

Eine semantische Uberprufung der Datenintegritat kann flexibel durch eine Metasprache vor- 
genommen werden, bei der sich die semantische Ver- und Entschlusselung flexibel durch eine 
minimal geanderte Metasprache drastisch im rekonstruierten Ergebnis auswirkt, so dad die 
Korrektheit des Schlussels durch die Betrachtung der so rekonstruierten Daten relativ einfach 
3D durch Augenschein erkannt werden kann. 

Fur die Beweissicherung und Datenintegritat ist die Authentizitat wichtig und nicht die Ge- 
heimhaltung der so uberpruften Daten. Die Geheimhaltung ergibt sich aus der zusatzlichen 
Verschlusselung der Daten. Ob die Datenintegritat vor oder nach der Verschlusselung gepruft 
35 wird ergibt sich aus der konkreten Anwendung. 



Bei der Schlusselverwaltung ist zu differenzieren in Bezug auf den Schlussel als Paliwort zur 
Identifizierung und Authentifizierung, im folgenden nur Paliwort genannt, und Schlussel als 
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Rekonstruklionsanweisung fur die Elektronischen Dokumente. Die Schlussel konnen dabei 
selber Anweisungen enthatten, die wiedemm komplexere Verschlusselungsoperationen 
ausldsen konnen, und die sich dabei ggf. in eine Menge von Schlussel umwandeln. 

5 Die Schlussel konnen auch nur temporar fur eine Kommunikation oder fur eine Menge von 
Kommunikationsschritten, z.B. fur eine Benutzersession. eingesetzt werden. Die Abspeiche- 
rung der RA in der Datenbank kann auch zusatzlich verschlusselt werden. Die Verwendung 
von Schlussel (im Folgenden RA-Schlussel genannt) kann dabei fur eine Mengenbildung 
innerhalb der so verschlusselten Daten verwendet werden. Mit einem RA-Schlussel konnen 
ID dann belspielsweise alle RA fur ein Dokument oder alle RA fur ein Kapitel mit alien darin enl- 
halten Versionsanderungen verschlusselt werden. 

Verschlusselt wird stets eine ursprunglichen Datenquelle, die mit einer definierten Vokabular 
' aufgebaut wird. Alle Sprachen, insbesondere die naturlichen menschlichen Sprachen, beste- 
15 hen aus einer Menge von Worter, die in einem Lexikon aufgelistet werden konnen. Die An- 
wendung im Rahmen von kontextbezogenen Satzen konnen Worter noch konjugiert und de- 
kliniert werden. 

Die Verwendung von falschen grammatlschen Formen ist innerhalb der schriftlichen und 
5U mundlichen Sprache ubiich und wird von Menschen in der Regel richtig interpretiert sofern es 
nicht deutlich oberhalb einer Reizschwelle liegt und oder zu MiRverstandnissen, Unklarheiten 
Oder zu Konflikten mit der Kontext steht und zu Sinn behafteten Irritationen fuhrt. 

Die Verschlusselung eines Backup hat ein zusatzliches Problem, dafi bei einer Datenubertra- 
ES gung keine aquivalente Bedeutung hat. Da Backup Bander und deren ggf. illegal gemachte 
Kopie sehr lange aufbewahrt werden konnen, besteht einerseits das Problem ein ZugriffspaB- 
wort zu haben. dafi auch nach Jahren wieder erinnert und verwendet werden kann, anderer- 
seits besteht das Problem, dafi die Endtamung des Paftwort weitreichende Folgen fur die 
Datensicherheit hat. Wenn die Paftworter zu schwierig zu merken sind, dann besteht die 
3D Gefahr des Vergessens. Wenn dagegen das Padwort fur den Hersteller des Backup oder 
eines Benutzer, dessen Daten abgespeichert werden. sehr leicht zu merken ist, dann stellen 
klassische Verschlusselungsverfahren keine Schutz mehr dar. Dagegen wtirde eine semanti- 
sche Verschlusselung der Schlusseleinheit keine Hinweise oder Beweise liefern, daft der ein- 
fache Schlussel tatsachlich der richtige Schlussel ist. 

35 

Die Verwendung einer lokalen Schlusseleinheit erspart dem Benutzer umfassende Ausfall- 
malinahmen zu treffen. fur den Fall, dafi der Schlusselserver ausfallt. Die flexiblere Verteilung 
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der SchlOssel ermoglicht eine Online Zugriff auf einen extemen ggf. zentral verwalteten 
Schlusselservers, fur den Fall einer zusatzlichen Abgleich zur Herstellung der Aktualitat. 

Ein weiterer Fortschritl besteht in der Begegnung der Gefahr, dali auch in einer zentralen 
S Datenbank eingedrungen werden kann und dali die Kenntnis alter SchlOssel zu einem ent- 
sprechend grolien Schaden fuhren kann. AufSerdem besteht das Problem in einer moglichen 
Oberlastung durch zu viele Anfragen auf eine zentralen Datenbank. was zu Problemen in der 
effizienten okonomischen Ausnutzung von Ressourcen fuhren kann. 

ID Bei einer Schlusselverteilung mufi berucksichtigt werden, ob der SchlOssel geholt werden mufi 
Oder verschlusselt geiiefert wird. Oder bereits durch das Paftwort lokal vorhanden ist. Aufter- 
dem kann unterschieden werden, ob die SchlOssel bzw. die PafJworter in der Schlusseleinheit 
im Klartext eingetragen sind Oder von der Schlusseleinheit zur Oberprufung angefordert wer- 
den mufi. Die RA SchlOssel konnen zentral. lokal oder dezentral verteiit gespeichert werden. 

IS Die Art der Schlusselverteilung ergibt sich daraus, ob der SchlOssel symmetrisch oder asym- 
metrisch ist und ob der SchlOssel nur einmal verwendet werden soli und damit immer neu ge- 
holt werden muB. Aulierdem ergibt sich das Problem der Schlusselverteilung aus der Not- 
wendigkeit zur Anderung und zum periodischen Wechsein von SchlOsseIn und Pafiworter. 

20 Ein weiterer Vorteil der semantischen VerschlOsselung besteht darin. dalJ bei einem Wechsel 
des Schlussels keine zuverlassige Aussage daruber gemacht werden kann, ob es sich urn 
eine veranderte VerschlOsselung handelt, oder um eine bewulite vprandernde Aklualisierung 
des Datenbestandes. Der Unterschied besteht dariri, dali bei einer klassischen VerschlOsse- 
lung und bei Kenntnis des enlschlusselten Textes durch eine Klartext auch der neue SchlOssel 

ES enttarnt werden kann. Die Gefahr einer Klartext Attacke besteht bei der semantischen Ver- 
schlOsselung nicht, da fOr einen so gefundenen SchlOssel keine Beweis vorhanden ist, dafi er 
richtig ist und da(i damit ein darOber hinausgehender Verlust an Vertraulichkeit verbunden ist. 

Die Sicherheit der Pafiwort Verwaltung ergibt sich zum einen aus der venvendeten Einweg- 
3D funktion und zum Anderen aus der Auswahl des Paliwortes durch den Benutzer. Der Vorgabe 
einer Lange und einer Auswahl aus einem moglichst grofien Zeichenvorrat verbessert die 
Qualitat eines Pafiwort. Um das Erraten von Pafiworter zu erschweren werden Ausschlufi- 
listen gebildet. Die Pafiwortverwaltung ist wie eine Schlusselverwaltung. Im Gegensatz zu RA 
SchlOssel werden die Pafiworter in der Regel vom Benutzer festgelegt. Aulierdem konnen sie 
35 von diesem eingegeben oder bei Bedarf geandert werden. 

Um den Zugriff auf das Backup zu erschweren, kann die Freischaltung der SchlOsseleinheit. 
die vom Backup geholt worden ist erst dann korrekt arbeiten. wenn eine zusatzliche Informa- 
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lion von einem vertrauenswQrdigen und Rechner geholt wird. der ggf. nur fur diesen Zweck 
bereitwillig Informationen sammelt, aber Antworten erst nach Uberwindung mehrerer Einzel- 
schritte ggf. auch organisatorischer Art freigibt. 

5 Die Schlusseleinheit stelll aufgrund der wichtigen Bedeutung fur die Sicherheit der Dalen 
innerhalb der Gesamtlosung ein wichtiges Angriffsziel dar. Wenn ein Benutzer sein PafSwort 
bei der Identifizierung gegenuber dieser Schlusseleinheit preisgibt, dann ist damit die Sicher- 
heit des Gesamtsystems ins Gefahr. Aus diesem Grunde muB die Paflworteingabe sich vor 
sogenannten trojanlschen Pferden schutzen. die dem Benutzer vorgaukein, sie waren in 

ID Wahrheit die Schlusseleinheit, aber in Wirklichkeit sind es nur Programme, die den Benutzer 
dazu verleilen sollen, das PaBwort einzugeben. Dieses Ausspahen des Pafiwortes wird auch 
Spoofing genannt. Die Schlusseleinheit kann in erne Ausfuhrungsform auch mit zusatzlichen 
Methoden zur Verhinderung des Spoofing ausgestattet sein, z.B. das Erzeugen einer 
Mehrzahl von Zugangspassworten fur jeden Benutzer (mit vorteithaft nur einem Korrekten). so 

15 dass eine Unsicherheitskomponente bei einem unberechtigt Zugreifenden entsteht. 

Die Zugriffskontrolle auf ein Backup kann auch als Kopierschutz Verfahren realisiert werden. 

Bei der symmetrischen Verschlusselung kann von dem Schlussel zur Verschlusselung sofort 
SO auf den Schlussel zur Entschlusselung geschlossen werden. In diesem Sinne kann das Ver- 
tauschen und Erselzen von Daten als symmetrisches Verschiusselungsverfahren verslanden 
werden. Durch die Arbeitsanweisung zur Entschlusselung kann sofort die zugehorige Ent- 
schlusselungs- RA gewonnen werden. In der gleichen Weise ist auch nach der Entschlusse- 
lung gekannt. wie die Verschlusselung durchgefuhrt worden ist. Um diese beiden Vorgange 
ES starker zu trennen. mufi eine semantische Zwischenschicht eingefuhrt werden. 

Die Anweisungen zur Vertauschung oder Loschen etc. bestehen aus einem Vokabular oder 
zumindest aus Token, denen eine definierte Aufgabe zugewiesen wurde. Das Vokabular wird 
durch die Interpretation der Rekonstruktionseinheit mit einer Aktion verknupft. Die Interpreta- 

3D tion dieses Vokabulars kann man durch die Implementation von ausfuhrenden Operationen 
einer Metasprache realisieren. Wenn die Zuordnung des Vokabulars zu Operationen wie- 
derum durch eine Metasprache geandert werden kann, so kann ein zusatzlicher Schlussel 
genutzt werden, um die Operation der ersten Schlussels komplexer zu interpretieren. Dieser 
zusatzliche Schlussel kann dann entweder dem Sender oder dem Empfanger des RA hinzu- 

35 gefugt werden. Die zusatzlichen Zuordnungen zwischen Vokabular und Operationen konnen 
so miteinander funktional interagieren. dali ein zuruck rechnen von einen Schlussel auf den 
anderen an der Komplexitat und Eihdeutigkeit des Problems scheitert. Zur Unterstutzung 
dieses Vorgangs konnen Einwegfunktionen ven/vendet werden. 
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Aus dieser Verknupfung kann auch die semantische Verschlusselung so eingesetzt werden 
daK auf deren Basis asymmetrische Verschlusselung mit ail seinen aus dem Stand der Tech- 
nik bekannten Anwendungen moglich gemacht werden kann. 

5 

Message Digits (MD) ergeben sich aus der Anwendung von Einwegfunktionen. Die Anwen- 
dung kann auf eine durch die semantische Verschlusselung vorgegebene Klasse von Entita- 
ten Oder auf deren Komplementar Menge beschrankt werden Auf diese Weise konnen meh- 
rere unabhangige Teil Message Digits entstehen. die jeweils fur sich einen Schutz vor zufalli- 
ID gen und absichtlicheh Veranderungen bieten. Da MD auf der Byte Ebene angewendet werden 
und daher fur sehr grolie Datenmengen relatrv rechenzeitaufwendig in der Erstellung sind, 
kann ein semantischer MD auf der semantischen Ebene dazu eingesetzt werden. ob es eine 
Anderung der Volumendaten Oder der Schlusseldaten oder der Schlusseleinheit gegeben hat. 

15 Unter Bezug auf die Fig. 2 wird nachfolgend eine praktische Realisierungsform des die Infra- 
struktur zur semantischen Verschlusselung betreffenden Aspekts der vorliegenden Erfindung 
beschrieben. 

Die Fig. 2 zeigt dabei in einer schematischen Blockschaltbild-Darstellung den Aufbau einer 
ED .Schlusselerzeugungs- und Verwaltungseinheft mit den zugehorigen Funktionskomponenten im 
Rahmen der vorliegenden Erfindung, die benutzt werden kann, um durch die erfindungsge- 
malie Technologie der semantischen Verschlusselung zu schutzende elektronische Doku- 
mente in geschutzte Volumendateien und zugehorige Schlusseldateien umzusetzen. Dabei 
ermoglicht es die im Zusammenhang mit Fig. 2 beschriebene Ausfuhrungsform insbesondere 
25 auch, nicht lediglich eine (beim Wiederherstellen zur ursprunglichen. korrekten Datenmenge 
fuhrende) Schlusseldatenmenge zu erzeugen, sondern eine Mehrzahl von Schlusseldaten- 
mengen. so dass auch durch diesen Aspekt des Vorliegens einer Mehrzahl moglicher 
SchlQssef (von denen auch wiederum nur einer zu dem auch inhaltlich korrekten. und nicht nur 
scheinbar korrekten Ergebnis fuhrt) die Sicherheit der vorliegenden Erfindung weiter erhoht 
3D werden kann. 

Die Fig. 2 soli am Beispiel eines elektronischen Textdokuments beschrieben werden, welches 
In einem ubiichen Format (z.B. Microsoft WORD) vorliegt und mit geeigneten Texteditoren 
erstellt wurde. Das Textdokument besteht aus dem Salz 

35 



Peter geht um 20.00 Uhr zum Bahnhof Der Zug ist punktlich. 
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ist in einer Speicherheit 52 gemalX Fig. 2 gespeichert und soli in nachfolgend zu beschreiben- 
der Weise durch Wirkung der In Fig. 2 gezeigten, weiteren Funktionskomponenten semantisch 
verschlusselt werden. 

5 Eine der Dokumentspeichereinheil 52 nachgeschaltete Lese-/Zugriffseinheit 54, welche mit 
einer Formatdateneinheit 56 zusammenwirkt, stall! fast, dass das obige, in der Spaichereinhait 
52 gaspeicherte Dokumanl der Formatstruktur MS-WORD folgt (idaalenvaise enthalt die For- 
matdateneinheit 56 samtliche Format- bzw. Strukturinformationen gangiger Datenformata), 
und greift mit diesen (dateibezogenen) Formatinformationen auf das Textdokument in der 

ID Dokumentspeichereinheit 52 zu. Die der Lese-/Zugriffseinheit 54 nachgeschaltete Analyse- 
einheit 58 ist nunmehr in der Lage, auf der Basis der von der Leseeinheit 54 gelesenen Doku- 
mentinformationen diese zu analysieren und zu bewerten, wobei die Analyseeinheit 58 zum 
einen das elektronische Dokument in seine einzelnen Informationskomponenten zerlegt und 
diese in eine Informationskomponentenspeichereinheit 60 ablegt (im vorliegenden Belspiel 

15 waren dies die einzelnen Worter), und zusatzlich die Dokumentstruktur als Struktur von zwei 
durch Punkte begrenzten Satzen erkennt und diese Dokumentstruktur in der Dokumentstruk- 
turspeichereinheit 62 zerlegt ablegt. Insoweit erhalt der Inhalt der Einheit 62 den Charakter 
einer dokumentspezifischen Metadatei, auf die auch spatere Verschlusselungsvorgange (auch 
ggf. nur selektiv) zugreifen konnen. 

BD 

Konkret konnte der Inhalt der Dokumentstrukturspeichereinheit nach der Analyse des Aus- 
gangsdokuments durch die Analyseeinheit wie folgt aussehen: 

Satz 1 (1, 2. 3.4)Satz2(1.2, 3), 

wahrend die Informationskomponentenspeichereinheit 60 dieser strukturellen Analyse ent- 
sprechenden Informationskomponenten, also Worte enthalt: 

(1.1) Peter 

3D (1-2)geht 

(1.3) urn 20.00 Uhr 

(1.4) zum Bahnhof 

(2.1) der Zug 

(2.2) ist 

35 (2.3) punktlich 

Mit dieser fur das nachfoigende Vomehmen der Verschlusselungsoperationen wichtigen Vor- 
bereitung ist es nunmehr moglich. sowohl auf die einzelnen Informationskomponenten (im 
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vbrliegenden Beispiel die einzelnen Worte), als auch auf die Folgen von Informationskompo- 
nenten bzw, Strukturen die Basisoperationen der semanlischen Verschlusselung durchzu- 
fuhren, namlich das Vertauschen, Entfernen. Hinzufugen oder Austauschen. Dabei liegt eine 
wesentllche Schutzwirkung der erfindungsgemaBen semantischen Verschlusselung darin, 
5 dass diese Operationen nicht beliebig durchgefuhrt werden. sondern dass dies vielmehr unter 
Beibehaltung der grammalikalischen, syntaktischen und/oder formatmafJigen Regain erfolgl, 
so dass auch als Ergebnrs der Verschlusselung ein Resultat entsleht, welches scheinbar (d.h. 
ohne inhaltliche Prufung) korrekt zu sein scheint, mlt anderen Worten» dem man nichl ansiehl. 
dass es sich in der Tat um ein verschlusseltes Ergebnis handelt. 

ID 

Im vorliegenden Ausfuhrungsbeisprel wird mit Hilfe der Verschlusselungseinheit aus dem oben 
angegebenen elektronischen Dokument der folgende Text: 

Thomas kommt um 16.00 Uhr vom Friedhof. Der Zug ist punktlich. 

IS 

Ohne Kenntnis des wahren Inhaltes erscheint dieser Satz also wie ein offenes. unverschlus- 
seltes Ergebnis, so dass eine wesentliche, schutzbegrundende Wirkung der vorliegenden 
Erfindung bereils darin liegt, dass ein Angreifer angesichts dieses Textes moglicherweise gar 
nichl erst den Eindruck gewinnt, es handle sich um eine Verschlusselung, und so von Anfang 
20 an einen Angriff auf diesen Text unterlalit. 

Konkret wurde im vorliegenden Ausfuhrungsbeispiel durch Wirkung einer Aquivalenzeinheit 70 
(die in ihrer einfachsten Fassung als Tabelle bzw. Datenbank von aquivalenten, d.h. entspre- 
chenden und austauschbaren. Begriffen verstanden werden kann, folgendes vorgenommen: 

ES Die Inhaltskomponente "Peter" des Ausgangsdokuments wurde durch die grammatikalisch 
aquivalente Inhaltskomponente "Thomas" ersetzt, wobei Satzstruktur und Grammatik beibe- 
halten wurden, der Sinn des Ursprungsdokuments jedoch bereits zerstort Ist. Entsprechend 
wurde die Inhaltskomponenten "geht" des Ursprungsdokuments in die aquivalente Kompo- 
nente "kommt" ersetzt, die Inhaltskomponente "um 20.00 Uhr" wurde ersetzt durch "um 16.00 

3D Uhr" (hier wurde durch Wirkung der Aquivalenzeinheit festgestellt, dass es sich um ein nume- 
risches Datum in Form einer Uhrzeit handelt, so dass eine Manipulation innerhalb der zulas- 
sigen Uhrzeiten mogiich war), und die Inhaltskomponente "zum Bahnhof wurde ersetzt durch 
die Inhaltskomponente "vom Friedhor. Dabei wurde zudem durch eine ebenfalls mit der Ver- 
schlusselungseinheit 64 verbundene, den geschilderten Verschlusselungsbetrieb beeinflus- 

3S sende semantische Regeleinheit 72 sichergestellt. dass das Verschlusselungsergebnis 
"...kommt ... vom Friedhof grammatikalisch und syntaktisch korrekt ist, insoweit also nicht als 
manipuliert idenlifiziert werden kann. (Auch das zusatziiche "zum" ware hier korrekt). Auch 
wurde mittels der Verschlusselungseinheit 64 und der zusammenwirkenden Aquivalenzeinheit 
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70 bzw. semantischen Regeleinheit 72 festgestelll. dass die Inhaltskomponente "der Zug" des 
nachfolgenden Satzes in einem inhaltlichen Bezug zu der in den vorhergelienden Satz neu 
eingebrachten Inhaltskomponente "Friedhof steht, so dass selbst ohne eine Verschlusselung 
des zweiten Satzes ein vollig anderer Sinn (und damit ein Verschlusselungseffekt) entsteht. 

. 5 

Als Ergebnis dieser beschriebenen. einfachen Verschlusselungsoperationen wird somit das 
Verschlusselungsergebnis 

Thomas kommt urn 16.00 Uhr vom Friedhof. Der Zug ist punktlich." 

ID 

als Volumendaten ausgegeben und in einer Volumendaten-Speichereinheit abgelegt, wahrend 
ein das Rekonstruieren ermoglichender Schlussel (im vorliegenden Ausfuhrungsbeispiel eine 
Information uber die jeweils vertauschten Worte mil deren Position im Satz sowie in jeweiligen 
Inhaltlichen Begriffen) in einer Schlusseldaten-Speicherelnheit 74 abgelegt wird. Entsprechend 
IS konnte die zugehorige Schlusseldatei fur die Spelcherelnhelt 74 wie folgt aussehen (Im 
folgenden Beisplel wird von der Rekonstruktionselnheit der Befehl EXCHANGE interpretiert, 
um die im Argument angegebene Vertauschung durchzufuhren): 

EXCHANGE (1.1; Thomas) 
BD EXCHANGE (1.2; kommt) 

usw. 

In einer Weiterbildung dieser Ausfuhrungsform ist das Vokabular der Befehissprache selbst 
BS dynamisch und kann durch Funktionen einer Scriptsprache geandert werden; der Befehl 
EXCHANGE wurde so selbst durch einen anderen. beliebigen Ausdruck ersetzt werden 
konnen. 



30 



Gemafi einer welteren bevorzugten Ausfuhrungsform der Erfindung ist vorgesehen. eine 
Mehrzahl von Schlusseldateien zu erzeugen, von denen jedoch nur eine das korrekte Rekon- 
struktionsergebnis erzeugt. Schlusseldatei 2 konnte entsprechend wie folgt beginnen: 
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EXCHANGE (1.1; Rudiger) 
(Rest wie obige Schlusseldatei); 

5 Schlusseldatei beginnt mit: 

EXCHANGE (1.1; Glaus) 

usw. 

ID 

Im Ausfuhrungsbeispiel der Fig. 2 ist zusatzlich diesen beiden Speichereinheiten eine Ausga- 
beeinheit 78 nachgeschaltet. die in besonders einfacher Weise die Schlusseldaten 74 in Form 
eines Scripts aufbereitet und als lauffahige Scriptdatei 84 ausgeben kann; dies geschieht mit 
Hilfe einer Konvertierungseinheit 80, welche \n ansonsten bekannter Weise aus den 

15 Volumendalen der Speichereinheit 76 ein der verschlusselten Fassung entsprechendes 
Volumendokument 82 erzeugt, und aus den Index- bzw. Rekonstruktionsdaten der 
Speichereinheit 74 ein selbstandig im Rahmen einer geeigneten Ablaufumgebung lauffa- 
hige(s) Strukturbeschreibung, Script, z.B. als Javascript, XML, VB-Script od.dgL. und welches 
dann selbstandig beim Ablaufen das Volumendokument 82 bearbeitet und in die ursprungli- 

EO Che, unverschiusselte Form zuruckfuhren kann. 

Das als Weiterbildung der vorliegenden Erfindung beschriebene Vleraugenprinzip — zusatzlich 
kpnnen zwei Dritte das verschlusselte Dokument durch aufeinanderfolgendes Anwenden ihres 
jeweiligen Einzelschlussels entschlussein - kann dadurch implementiert werden. dass, am 
25 vorbeschriebenen Beispiel, ein Dritter alie Namen und alle Zeiten/Zahlen entschlussein kann, 
der zweile die sonstigen Inhaltsbestandteile des Dokuments (einschlieRlich der Reihenfolgen). 

Insbesondere im Rahmen einer Intemet-Umgebung, wo dann das Volumendokument schon 
lokal vorhanden Oder auf anderem Wege zu einem Nutzer herangefuhrt worden ist. kann dann 
3D uber eine gesicherte (und insbesondere auch zum Durchfuhren einer geeigneten. einem ord- 
nungsgemafien Zugriff auf das Dokument autorisierenden Identifikations- und/oder Bezah- 
. lungsvorgang) die Scriptdatei 84 zu dem autorisierten Benutzer ubertragen werden, und dieser 
kann dann komfortabel (und idealerweise ohne uberhaupt mit dem verschlusselten Vo- 
lumendokument konfrontiert zu werden) die offene Originalfassung wieder herstellen. 

35 

Zusatzlich ist die In Fig. 2 schematisch gezeigte Ausfuhrungsform geeignet, nicht nur eine 
Schlusseldatei fur die Speichereinheit 74 (bzw. als lauffahige Scriptdatei 84) zu erzeugen. 
sondern eine Mehrzahl, von denen idealerweise jedoch wiederum nur eine zu einem inhaltlich 
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tatsachlich korrekten Ergebnis fuhrt, wahrend andere Schlusseldateien als Scripte einen Ent- 
schiusselungsvorgang ausldsen. welcher zwar ebenfalls zu einem sinnvollen (und damit 
scheinbar korrekten) Ergebnis fuhrt. inhaltlich jedoch nicht mit der Ursprungsfassung uberein- 
stimmt. Hierdurch ist dann eine weitere Erhohung der Verschlusselungssicherheit gegeben. 
5 Dabei sollte es unmittelbar einsichtig sein, dass bereits geringe inhaltliche Abweichungen den 
(fur einen Nutzer eigentlich wertbildenden) Sinn des Ursprungsdokuments vollstandig zerslo- 
ren. so dass es moglicherweise nur geringer Modifikationen bzw. einer geringen Anzahl von 
Verschlusselungsoperationen (mit der Folge einer entsprechend kurzen Scriptdatei als 
Schlusseldaten) bedarf. urn den vorgesehenen Schutzzweck zu erreichen, bis hin zur bereits 
10 erwahnten Nicht-Verschlusselung der Ursprungsdatei, die ihren Schutzzweck lediglich aus 
dem Umstand herleltet, dass ein unberechtigt Zugreifender die Unsicherheit hat. ob er es mit 
einem offenen (d.h. der Ursprungsdatei auch entsprechenden) Inhalt. oder aber mit einem 
verschlusselten. d.h. nicht mit der Ursprungsdatei ubereinstimmenden Inhalt zu tun hat. 

15 Die vorliegende Erfindung ist nicht auf das exemplarische Beispiel von Textdateien be- 
schrankt. So bietel es sich insbesondere auch an, jegliche weiteren elektronischen Doku- 
mente durch die prinzipiell beschriebene Weise zu verschlussein, solange diese elektroni- 
schen Dokumente eine fur die Basisoperattonen des Vertauschens, Entfernens, Hinzufugens 
Oder Austauschens geeignete Struktur aus Inhaltskomponenten aufweisen. Typische weitere 

SO Anwendungsfalle waren also insbesondere Musikdatein, die ubiicherweise im sog. MP3-For- 
mat vorliegen, und wo es im Rahmen der vorliegenden Erfindung mpglich ist. die durch das 
MP3-Format vorgegebenen Datenstrukturen (sog. Frames) einzein oder blockweise 
(idealerweise auch takt- oder abschnittsweise, bezogen auf das jeweilige Musikstuck) aus- 
zutauschen. zu entfernen oder zu vertauschen. Entsprechendes gift fur Bild- und/oder Video- 

ES dateien. denn auch die dorl gangigen. bekannten Dokumentformate basieren auf einer Folge 
von Frames als Inhaltskomponenten (bei Bildern oder elektronischen Videos sind dies die je- 
weiligen Einzelbilder), die in der erfindungsgemaBen Weise manipuliert werden konnen. So ist 
es hier insbesondere Aufgabe der (auf technlsche Standards bezogenen) semantischen 
Regeleinheit (Fig. 2). innerhalb derartiger komplexer Datenstrukturen Ansatzpunkte fur eine 

3D wirksame Manipulation aufzufinden. Entsprechendes gilt fur Farb-. Kontrast-. Helligkeits- oder 
andere Werte, die im Rahmen einer Darstellungs- oder Ablauflogik des belreffenden 
Dokuments benutzt werden und mil den Basisoperationen der semantischen VerschlCisselung 
geandert werden konnen. 
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Dalenverarbeitungsvorrichtung mit 

einem einer lokalen Rechnereinheit (10) zugeordneten lokalen DateiaWagesy- 
stem (12) zum Abrufen und zur Speicherung sowie zur bidirektionalen Daten- 
ubertragung von Volumendateien mittels der Rechnereinheit (10) 
und einer der fokalen Rechnereinheit zugeordneten Nutzer-ldentifikationseinheit 
(20), die zum Ermoglichen eines Zugriffs durch die Rechnereinheit auf fur einen 
Nutzer autorisierte Volumendateien nur als Reaktion auf dessen positive Iden- 
tifikation ausgebildet ist, 

wobei die Volumendatei in dem lokalen Dateiablagesystem (12) in einer fur 
einen Nutzer nicht brauchbaren, verschlusselten Form gespeichert ist. 
gekennzeichnet durch 

eine einem Datenubertragungspfad von Volumendateien zwischen der lokalen 
Rechnereinheit (10) und dem lokalen Dateiablagesystem (12) zugeordnete 
SchlusselvenA^altungseinheit (16) als Teil und Funktionalitat der lokalen Rech- 
nereinheit (10). die zum Erzeugen und Zuweisen mindestens einer nutzerspe- 
zifischen und volumendateispezifischen Schlusseldatei fur jede Volumendatei 
ausgebildet ist, 

die Schlusselverwaltungseinheit (16) mit einer als Teil des lokalen Dateiabla- 
gesystems, von diesem logisch getrennt vorgesehenen Schlusseldatenbank 
(18) verbunden ist 

und zum Verknupfen einer in der Schlusseldatenbank (18) gespeicherten 
Schlusseldatei mit einer im lokalen Dateiablagesystem (12) gespeicherten 
Volumendatei zum Erzeugen eines fur einen Nutzer brauchbaren elektroni- 
schen Dokuments 

wobei die Schlusseldatenbank lokal in der Datenverarbeitungsvorrichtung. je- 
doch logisch oder strukturell oder physisch getrennt von einer dem lokalen 
Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereinheit 
vorgesehen ist. 

Vorrichtung nach Anspruch 1. dadurch gekennzeichnet, dass die verschlusselle Form 
das Verschlussein mittels eines symmetrischen Schlussels aufweist. 
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Vorrichtung nach Anspruch 1. dadurch gekennzeichnet. dass die verschlusselte Form 
ein bezogen auf ein elektronisches Ookument als Basts fur eine Volumendatei inhalts- 
und/oder sinnentstellendes Vertauschen. Entfemen und/oder Hinzufugen von Datei- 
komponenten aufweist. 

Vorrichtung nach einem der Anspruche 1 bis 3, dadurch gekennzeichnet, dass das 
lokale Dateiablagesystem (12) eine Datenbank und die Volumendateien Datenbankein- 
trage oder Datensatze der Datenbank sind. 

Vorrichtung nach einem der Anspruche 1 bis 4, dadurch gekennzeichnet, dass das 
lokale Dateiablagesystem (12) eine Arbeitsplatz-Massenspeichereinheit fur bevorzugt 
eine Mehrzahl von Nutzern ist. 

Vorrichtung nach einem der Anspruche 1 bis 5. dadurch gekennzeichnet, dass die Vo- 
lumendateien digitate Text-. Programm-, Bild-. Audio- und Videodateien sowie Kombi- 
nationen aus diesen aufweisen. 

Verfahren zur Speicherung und zum Aufruf von elektronischen Dateien, insbesondere 
zum Betreiben einer Datenverarbeitungsvorrichtung nach einem der Anspruche 1 bis 6, 
gekennzeichnet durch die Schritte: 

Identifizieren eines an einer Rechnereinheit zum Zugreifen auf in einem der 
Rechnereinheit zugeordneten Dateiablagesystem gespeicherten oder zu 
speichernden Volumendateien tatigen Nutzers; 

Ermoglichen des autorisierten Zugriffs auf nutzerspeizifische Volumendateien 
als Reaktion auf eine positive Identifikation; 

Erzeugen einer volumendatei- und nutzerspezifischen Schlusseldatei fur ein im 
Dateiablagesystem zu speicherndes elektronisches Dokument und nachfol- 
gendes Verknupfen des elektronischen Dokuments mit der Schlusseldatei zum 
Erzeugen und Speichern einer fur einen Nutzer nicht brauchbaren Volumen- 
datei; 

Ablegen der erzeugten Schlusseldatei in einer Schlusselspeichereinheit; 
Auslesen einer volumendatei- und nutzerspezifischen Schlusseldatei als Reak- 
tion auf einen Zugriffsbefehl eines Nutzers; 

Verknupfen der ausgelesenen Schlusseldatei mit einer aus dem Dateiablagesy- 
stem ausgelesenen, fur einen Nutzer nicht brauchbaren Volumendatei zum Er- 
zeugen eines brauchbaren elektronischen Dokuments. 
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8. Verfahren zum Verschlussein einer elektronisch gespeicherten ursprunglichen Da- 
tenmenge. insbesondere als Verfahren zum Erzeugen einer volumendatei- und nutzer- 
spezifischen Schlusseldalei nach Anspruch 7 und/oder zum Betreiben der Schlussel- 
verwaltungseinheit in der Vorrichtung nach einem der Anspruche 1 bis 6. wobei die 
elektronisch gespeicherte urspriingliche Datenmenge aus einer Folge von Informati- 
onskomponenlen einer Metasprache in Form einer Schriftsprache, eines Zahlensy- 
stems Oder von Informationskomponenten aus in einer vorbestimmten, einheitlichen 
Formatstruktur angeordneten Datenelementen. insbesondere Bild-. Ton- oder Pro- 
gramminformalionen. besteht und in einer Mehrzahl von elektrohisch adressierbaren 
Speicherbereichen gespeichert ist. mil den Schritten: 

Vertauschen und/oder Entfernen einer informationskomponente in der Da- 
tenmenge und/oder Hinzufugen einer Informationskomponente an eine vor- 
bestimmte Position in der Folge von Informationskomponenten und/oder Aus- 
tauschen einer Informationskomponente gegen eine bevorzugt in der ur- 
sprunglichen Datenmenge nicht enthaltene Informationskomponente durch 
einen Rechnerzugriff auf einen jeweiligen der Speicherbereiche zum Erzeugen 
einer verschlusselten Datenmenge; 

Erzeugen einer Schlusseldatenmenge mit Angaben uber die vertauschten. 
entfernten, hinzugefugten und/oder ausgetauschten Informationskomponenten, 
die so ausgebildet ist. dass sie ein Wiederherstellen der ursprunglichen Da- 
tenmenge gestattet und 

Abspeichern der verschlusselten Datenmenge sowie Abspeichern der Schlus- 
seldatenmenge in einer getrennten, benutzerindividualisierten Schlusseldatei 
eines gemeinsamen Dateisystems. 

Verfahren nach Anspruch 8, gekennzeichnet durch das aufeinanderfolgende, minde- 
stens zweifache Verschlussein der Schlusseldatenmenge jeweils durch den Schritt des 
Vertauschens. Entfernens, Hinzufugens und/oder Austauschens. wobei ein erster, 
hierdurch erzeugter Schlusseldatensatz einem ersten Benutzer und ein zweiter, 
nachfolgend erzeugter Schlusseldatensatz einem zweiten Benutzer zugeordnet wird. 

D. Vorrichtung zum Behandein einer elektronisch gespeicherten ursprunglichen Daten- 
menge, insbesondere zur Durchfuhrung des Verfahrens nach einem der Anspruche 7 
Oder 8 und/oder als Bestandteil der Schliisselverwaltungseinheit in der Vorrichtung 
nach einem der Anspruche 1 bis 6 mit 

einer Analyseeinheil (54, 56). die zum Zugreifen auf die in einer Dokumentspei- 
chereinheit (52) gespeicherte ursprungliche Datenmenge sowie zum elektronischen 
Erfassen von mindestens einer Folge von Informationskomponenten der ursprungli- 
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Chen Datenmenge als Reaktion auf vorbestimmte und/oder ermittelte Format- 

und/oder Strukturdaten der ursprunglichen Datenmenge ausgebildet ist, 

einer der Analyseeinheit nachgeschalteten Verschlusselungseinheit (64), die zum 

Vertauschen und/oder Entfernen einer Informationskomponente in der ur- 
sprunglichen Datenmenge und/oder Hinzufugen einer Informationskompo- 
nente an eine vorbestimmte Position in der Folge von Informationskompo- 
nenten und/oder Austauschen einer Informationskomponente gegen eine be- 
vorzugt in der ursprunglichen Datenmenge nicht enthaltene Informations- 
komponente sowie zum 

Erzeugen einer Schliisseldatenmenge mit Angaben uber die vertauschten, 
entfernten, hinzugefugten und/oder ausgetauschten Informationskomponen- 
ten. die so gebildet ist, dass sie ein Wiederherstellen der ursprunglichen 
Datenmenge gestattet, 

ausgebildet ist, 

einer zum Abspeichem der Schlusseldatenmenge ausgebildeten Schlus- 
seldatenspeichereinheit (74) sowie 

einer zum Abspeichern der verschlusselten Datenmenge ausgebildeten Volu- 
mendatenspeichereinheit (76). 

Vorrichtung nach Anspruch 10, dadurch gekennzeichnet. dass der Verschlusselungs- 
einheit (64) eine Aquivalenzeinheit (70) zugeordnet ist, die fur mindestens eine In- 
formationskomponente in der ursprunglichen Datenmenge mindestens eine Aqui- 
valenzinformationskomponente elektronisch gespeichert bereithalt. wobei die Aqui- 
valenzinformationskomponente so gebildet ist, dass sie mit der zugehorigen Informa- 
tionskomponente grammatikalisch. formatmaliig, metaphorisch und/oder syntaktisch 
ubereinstimmt. 

Vorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Ver- 
schlusselungseinheit zum Zusammenwirken mit einer semantischen Regeieinheit (72) 
ausgebildet ist. die so eingerichtet ist, dass das Vertauschen, Entfernen. Hinzufugen 
Oder Austauschen innerhalb der/des Grammatik. Formats, Metaphorik und/oder 
Syntax erfolgt, die/das durch die Format- und/oder Strukturdaten bestimmt ist. 
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13. Vorrichtung nach einem der Anspruche 10 bis 12. dadurch gekennzeichnet, dass der 
Verschlusselungseinheit eine Zufallssteuerungseinheit (68) zugeordnet ist, die das 
Vertauschen, Entfernen. HInzufugen und/oder Austauschen durch die Verschlusse- 
lungseinheit betreffend einzelne Informationskomponenten und/oder Folge(n) von 
Informationskomponenten zufallsabhangig. insbesondere nicht reproduzierbar. 
sleuert. 

14. Vorrichtung nach einem der Anspruche 10 bis 13, gekennzeichnet durch eine der 
Verschlusselungseinheit zugeordnete Verschlusselungsparametereinheit (66). die 
zum Speichern und/oder Einstellen vorbestimmter Parameter fur das Vertauschen, 
Entfernen, Hinzufugen und/oder Austauschen durch die Verschlusselungseinheit 
ausgebildet ist, insbesondere betreffend eine durch eine Anzahl des Vertauschens, 
Entfernens, Hinzufugens und/oder Austauschens erreichte Verschlusselungstiefe. 

15. Vorrichtung nach einem der Anspruche 10 bis 14, gekennzeichnet durch eine der 
Verschlusselungseinheit nachgeschaltete Konvertierungseinheit (80), die zum Er- 
zeugen einer elektronisch ubertragbaren Volumendatei aus der verschlusselten Da- 
tenmenge sowie einer bevorzugt aktiv ablauffahigen Programm- und/oder Scriptdalei 
aus der Schtusseldatenmenge ausgebildet ist. 

16. Vorrichtung nach einem der Anspruche 10 bis 15. dadurch gekennzeichnet, dass die 
Verschlusselungseinheit zum Erzeugen einer Mehrzahl von Schlusseldatenmengen 
ausgebildet ist, von denen mindestens eine bei einem Zusammenfuhren mit der ver- 
schlusselten Datennienge nicht das Wiederherslelien der ursprunglichen 
Datenmenge gestattet. jedoch nach dem Zusammenfuhren zu einer Datenmenge 
fuhrt, die mit der ursprunglichen Datenmenge syntaklisch, formatmaflig und/oder 
grammatikalisch ubereinstimmt. 

17. Vorrichtung nach einem der Anspruche 10 bis 16, dadurch gekennzeichnet, dass die 
der Anaiyseeinheit nachgeschaltete Verschlusselungseinheit in der Schlusseldaten- 
menge zum Aus- Oder Vertauschen der Angaben uber die vertauschten, entfernten. 
hinzugefugten und/oder ausgetauschten Informationskomponenten ausgebildet ist. 
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